31일(현지시간) 암호화폐 전문매체 코인텔레그래프에 따르면, 사이버 보안 기업 스렛패브릭(Threat Fabric)은 이 악성코드가 은밀히 안드로이드 기기에 침투해, 사용자가 특정 뱅킹·암호화폐 앱을 실행할 경우 위장된 오버레이 화면을 띄운다고 밝혔다. 이 화면은 “12시간 이내 백업하지 않으면 지갑이 초기화될 수 있다”는 메시지로 사용자를 속이며, 사용자가 시드 문구에 접근하도록 유도한다.
스렛패브릭은 “크로커다일루스는 단순한 피싱 수준을 넘어, 화면 캡처, 원격 제어, 접근성 권한 탈취 등 최신 금융 악성코드 기능을 전부 탑재하고 있다”며 “일단 시드 문구가 수집되면 지갑은 완전히 탈취당한다”고 경고했다. 초기 감염은 다른 앱으로 위장해 안드로이드 13 보안체계를 우회한 뒤 접근성 서비스 활성화를 유도하며 이루어진다.
설치 이후, 악성코드는 중앙 명령(C2) 서버에 접속해 대상 앱 목록과 가짜 오버레이 데이터를 수신하며, 특정 앱 실행 시 자동으로 음소거 처리와 함께 공격을 개시한다. 이 과정에서 사용자의 개인정보와 인증 정보도 함께 수집되며, 해커는 이를 통해 원격으로 기기를 완전히 제어하고 무단 송금 등의 작업을 수행할 수 있다.
현재까지는 터키와 스페인을 주요 공격 대상으로 삼고 있지만, 스렛패브릭은 향후 글로벌 확산 가능성이 높다고 내다봤다. 분석 코멘트와 코드 구조를 근거로 개발자가 터키어를 사용하는 것으로 추정되며, ‘Sybra’로 알려진 해커 혹은 새로운 공격자가 이 악성코드를 시험 중일 가능성도 제기됐다.
스렛패브릭은 “크로커다일루스는 기존 모바일 악성코드보다 훨씬 정교하고 공격적인 구조를 갖췄다”며 “출시 초기부터 완성도 높은 오버레이 공격과 원격 제어 기능을 갖춘, 매우 성숙한 위협”이라고 평가했다.
<저작권자 ⓒ 코인리더스 무단전재 및 재배포 금지>
|
 
많이 본 기사
|
