안드로이드 금융앱 겨냥 새로운 트로이목마 'Crocodilus' 분석

‘악어’ 조심하세요...안드로이드 금융앱 겨냥 新트로이목마

‘악어’ 조심하세요...안드로이드 금융앱 겨냥 新트로이목마

 

Experts warn of the new sophisticate Crocodilus mobile banking Trojan

 

New Android Trojan Crocodilus Abuses Accessibility to Steal Banking and Crypto Credentials

 

• 악성코드 개요
  • 크로커딜러스(Crocodilus)는 안드로이드 기기에서 금융 및 암호화폐 앱을 대상으로 공격하는 신종 트로이목마
  • ThreatFabric에 의해 최초로 탐지되었으며, 원격 제어(Remote Control), 접근성 기능 오용, 화면 오버레이, 시드 문구 탈취 등 복합적인 공격 전술 사용
  • 주로 스페인과 터키를 중심으로 활동하며, 글로벌 확산 가능성 존재
• 주요 감염 및 실행 방식
  • 드로퍼가 구글 크롬을 위장해 Android 13+ 보안 제한을 우회하여 설치
  • 설치 후 접근성 서비스 권한을 요청하고, 사용자 상호작용 없이 C2 서버와 통신 시작
  • 기기 내 설치된 금융앱 목록 및 인증 정보를 탈취하기 위한 HTML 오버레이를 서버로부터 수신
• 기능별 주요 악성 행위
  • 원격제어 기능(RAT)
    • 화면 터치, 스와이프, 뒤로가기/홈버튼 등 사용자 조작 모방
    • 구글 인증앱 화면 캡처, 카메라 접근, 검은 화면 오버레이 및 음소거를 통한 활동 은폐
  • 봇(Bot) 기능
    • 문자 메시지 송수신, 연락처 수집, SMS 관리자 권한 설정
    • 디바이스 관리자 권한 요청을 통해 자가 삭제 방지 및 잠금화면 설정
    • 알림 위조 및 설정 업데이트로 사용자 기만
  • 사회공학 기반 암호화폐 지갑 공격
    • 지갑 복구를 위한 시드 문구 백업을 유도하는 경고 문구 오버레이
    • 사용자가 시드 문구를 입력하도록 유도하여 접근성 로그를 통해 실시간 탈취
• 기술적 고도화 요소
  • 모든 접근성 이벤트 기록 및 화면 요소 수집
  • 구글 인증앱의 일회용 비밀번호(OTP) 탈취
  • 설치된 앱 목록 확인 및 조건부 오버레이 삽입
  • 앱 활동 감시 및 화면 위에 가짜 UI를 띄워 정보 입력 유도
  • 감염된 기기에서 작동 중인 앱에 따라 다양한 오버레이 공격 수행
• 결론
  • 크로커딜러스는 단순한 트로이목마를 넘어 고도화된 원격 제어, 데이터 탈취, 위장 기술을 통합한 복합형 모바일 악성코드
  • 특히 접근성 서비스의 오남용 및 검은 화면 오버레이는 사용자 인지 회피에 효과적이며, 고가치 목표인 금융 및 암호화폐 계정 탈취를 위한 정교한 기법이 다수 적용됨
  • 사용자와 조직은 공식 앱스토어 이외의 앱 설치를 차단하고, 접근성 서비스 요청 앱에 대해 주의 깊게 검토할 필요가 있음