고급 사회 공학 전술로 암호화폐 지갑을 노리는 새로운 안드로이드 멀웨어 크로커다일러스
크로커딜러스라는 이름의 새로운 안드로이드 멀웨어가 모바일 사용자, 특히 암호화폐 지갑을 사용하는 사용자들에게 경각심을 불러일으키고 있습니다.
최근 사기 방지 전문가들이 발견한 사기 피해 사례는 다음과 같습니다.위협 패브릭 이 악성 소프트웨어는 기만적인 오버레이와 정교한 사회 공학 기법의 조합을 통해 사용자를 속여 민감한 지갑 자격 증명, 특히 시드 문구를 넘겨주도록 설계되었습니다.
최근 스페인과 터키의 사용자를 표적으로 삼는 것이 관찰되었지만, 멀웨어의 고급 기능으로 볼 때 더 광범위하게 확산될 수 있음을 시사합니다.
크로커다일러스가 접근성 기능을 악용하여 보안을 우회하는 방법
크로커다일러스는 안드로이드 13 이상의 보안 조치를 우회하는 커스텀 드로퍼를 통해 작동하여 Google의 Play 프로텍트의 탐지를 피합니다.
일단 설치되면 장애가 있는 사용자를 돕기 위해 설계된 기능인 접근성 서비스에 대한 권한을 요청하는데, 이 경우 화면 콘텐츠를 모니터링하고 애플리케이션과 상호 작용하는 데 악용됩니다.
출처: ThreatFabric
이러한 권한을 활용하여 크로커다일러스는 디바이스 소유자가 감지하지 못하는 다양한 작업을 수행할 수 있습니다.
이 멀웨어의 가장 교활한 기능은 사용자에게 12시간 이내에 지갑 키를 백업하라는 가짜 경고 오버레이를 표시하여 지갑에 대한 액세스 권한을 잃을 수 있다고 위협하는 것입니다.
이 메시지는 피해자가 시드 문구를 공개하도록 유인한 다음 멀웨어가 접근성 로거를 사용하여 로그를 기록하도록 설계되었습니다.
출처: ThreatFabric
공격자는 이 중요한 정보를 통해 지갑을 완벽하게 제어할 수 있습니다.
원격 액세스 기능으로 증가하는 위협
크로커다일러스는 단순한 인증정보 탈취 도구 그 이상입니다.
또한 원격 액세스 트로이 목마(RAT)로도 작동하여 사이버 범죄자에게 감염된 디바이스를 제어할 수 있는 권한을 제공합니다.
출처: Sucuri
이 멀웨어는 제스처를 시뮬레이션하고, 화면을 스와이프하고, 스크린샷을 찍을 수 있으며, 여기에는 Google 인증자와 같은 2단계 인증 앱의 스크린샷도 포함됩니다.
즉, 시드 문구를 훔칠 수 있을 뿐만 아니라 다중 인증(MFA)을 우회할 수 있어 암호화폐 지갑과 은행 계좌 모두에 심각한 위협이 될 수 있습니다.
일단 활성화되면 멀웨어는 디바이스를 음소거하거나 검은색 화면을 오버레이하여 사용자에게 자신의 활동을 숨길 수도 있습니다.
따라서 피해자는 자신의 데이터가 수집되는 동안 비정상적인 행동을 감지하는 것이 거의 불가능합니다.
스페인과 터키의 사용자를 대상으로 하지만 더 광범위하게 출시될 가능성이 높습니다.
현재 크로커딜러스는 주로 스페인과 터키의 사용자를 대상으로 관찰되었으며, 멀웨어 제작자가 이 지역에 집중하고 있음을 시사하는 증거가 있습니다.
터키어로 된 디버그 코드를 사용하는 것으로 보아 발원지가 터키일 가능성이 있지만, 멀웨어가 진화함에 따라 그 범위가 확대될 것으로 예상됩니다.
정확한 최초 감염 경로는 아직 밝혀지지 않았지만 전문가들은 악성 웹사이트, 소셜 미디어 프로모션, 가짜 광고 및 타사 앱 스토어를 통해 사용자가 속아서 멀웨어를 다운로드하는 것으로 추정하고 있습니다.
ThreatFabric의 모바일 위협 인텔리전스 책임자인 알렉산다르 에레민은 다음과 같이 설명합니다,
"크로커딜러스는 암호화폐 관련 앱으로 가장하고 있으며, 특정 사회 공학 기술을 사용하여 피해자가 암호화폐 지갑 애플리케이션에 저장된 비밀을 공개하도록 유도합니다."
이어서 그는 암호화폐 사용자와 지갑을 노리는 사이버 범죄자들의 관심이 커지고 있다고 강조했습니다.
증가하는 서비스형 멀웨어 위협
크로커딜러스는 모바일 위협 분야의 신생 기업임에도 불구하고 지하 사이버 범죄 시장에서 기존의 서비스형 멀웨어와 경쟁할 수 있다는 것을 빠르게 보여주었습니다.
원격 제어, 데이터 로깅, MFA 앱 우회 기능 등의 기능으로 인해 사이버 범죄자들이 매우 효과적으로 사용할 수 있는 도구가 되었습니다.
에레민은 크로커딜러스가 모바일 멀웨어 분야에서 비교적 새로운 위협이지만, 광범위한 기능을 갖추고 있어 지하 시장에서 잘 알려진 서비스형 멀웨어에 대한 강력한 경쟁자로 자리매김할 수 있다고 강조했습니다.
크로커다일러스로부터 자신을 보호하는 방법
크로커다일러스는 심각한 위협이지만, 사용자는 위험을 줄이기 위한 조치를 취할 수 있습니다.
무엇보다도 사용자는 암호화폐 지갑의 시드 문구를 절대 공유해서는 안 됩니다.
합법적인 앱은 팝업이나 알림을 통해 이를 요청하지 않습니다.
시드 문구를 안전한 위치에 오프라인으로 저장하는 것이 중요합니다.
출처: freepik
또한 사용자는 SMS 메시지나 소셜 미디어 광고에 포함된 링크를 포함하여 타사 소스의 앱을 설치하지 않아야 합니다.
악성 앱에 대한 모니터링이 활발히 이루어지고 있으므로 Google Play 스토어를 이용하는 것이 가장 안전합니다.
멀웨어를 차단하려면 Google Play 프로텍트를 활성화하고 Android OS 및 앱을 정기적으로 업데이트하는 것이 필수적입니다.
또한 사용자는 앱에 불필요한 권한을 부여할 때, 특히 접근성 서비스 또는 기기 관리자 권한과 관련하여 주의를 기울여야 합니다.
추가적인 보호를 위해 평판이 좋은 모바일 보안 앱을 설치하고 하드웨어 기반 2단계 인증 키를 사용하는 것이 좋습니다.
사용자는 경계를 늦추지 않고 모범 사례를 따르면 크로커다일러스 또는 이와 유사한 멀웨어에 감염될 가능성을 크게 낮출 수 있습니다.