'Crocodilus' 악성코드가 시드 구문을 탈취하고, 전 세계 암호화폐 사용자를 대상으로 공격합니다.

시드 문구 수집용 파서가 포함된 악성코드

Threat Fabric의 모바일 위협 인텔리전스(MTI) 팀이 암호화폐 사용자들에게 모바일 악성코드 Crocodilus의 새로운 변종에 대해 경고했습니다. 이 변종은 자동화된 시드 문구 수집기가 포함되어 있습니다. 원래 3월에 식별된 이 악성코드는 유럽 국가뿐만 아니라 남미 사용자까지 공격 대상을 확장하고 있다고 보고됩니다.

최신 블로그 게시물에서 MTI 팀은 Crocodilus의 새로운 변종이 암호화폐 지갑 애플리케이션을 특별히 목표로 한다고 밝혔습니다. 이 변종이 특히 우려되는 점은 특정 지갑에서 시드 문구와 개인 키를 추출하는 추가 파서가 제공된다는 점입니다.

이전 변종에 존재했던 접근성 로깅 기능을 기반으로 한 이 업데이트된 악성코드는 화면에 기록된 데이터를 보다 개선된 전처리를 포함합니다. 이 개선 사항은 정규 표현식을 사용하여 특정 형식의 데이터를 추출할 수 있게 해줍니다.

“우리의 이전 Crocodilus 블로그에서 우리는 사이버 범죄자들이 암호화폐 지갑에 흥미를 느끼고 있으며, 희생자들이 화면에 표시된 데이터를 훔치기 위해 지갑 애플리케이션을 열도록 한다는 점을 강조했습니다,”라고 팀은 설명했습니다. “장치 측의 추가 파싱을 통해 위협 행위자는 높은 품질의 전처리된 데이터를 받고 이를 계정 탈취와 같은 사기 운영에 사용할 준비를 합니다.”

추가 파서 이외에도 업데이트된 악성코드는 감염된 장치의 연락처 목록을 수정할 수 있는 기능을 제공합니다. MTI 팀은 이 기능이 공격자가 “은행 지원”과 같은 신뢰할 수 있는 이름으로 전화번호를 추가할 수 있게 하여, 이 연락처가 피해자를 속여 합법적으로 보이며 알려지지 않은 번호를 표시하는 사기 방지 조치를 우회할 수 있도록 한다고 의심하고 있습니다.

MTI 팀에 따르면, Crocodilus는 터키와 스페인에서 주요 은행과 암호화폐 플랫폼 사용자를 대상으로 사이버 캠페인을 적극적으로 수행하고 있습니다. 터키에서는 온라인 카지노로 위장해 악성 광고를 통해 퍼지며 금융 애플리케이션에 가짜 로그인 페이지를 오버레이합니다.

스페인에서는 가짜 브라우저 업데이트로 배포되어 거의 모든 스페인 은행을 목표로 합니다. 아르헨티나, 브라질, 미국, 인도네시아, 인도의 애플리케이션에 영향을 미치는 글로벌 공격도 작은 규모로 감지되었습니다, 라고 팀은 덧붙였습니다.