안드로이드 뱅킹 악성코드 ‘로카롤라’, 217개 금융·암호화폐 앱 노림

최근 보안 업계에 ‘로카롤라’라는 새로운 안드로이드 뱅킹 트로이잔이 출현해 주목받고 있다. 이 악성코드는 217개의 금융 및 암호화폐 관련 앱을 겨냥하며, 무려 137개에 달하는 명령어를 활용해 감염된 기기를 완전히 장악하는 capabilities를 보유하고 있다. 모바일 보안 기업 짐퍼니움의 분석에 따르면, 로카롤라는 구글 크롬이나 틱톡으로 위장한 악성 웹사이트를 통해 유포되며, 기기 관리자 권한을 획득해 사용자 데이터를 광범위하게 탈취할 수 있는 구조다.

로카롤라의 가장 큰 특징은 ‘드롭퍼’로 위장한 설치 과정에 있다. 사용자가 악성 웹사이트에 접속하면, 구글 플레이 프로텍트나 안드로이드 기본 보안 시스템을 사칭하는 메시지가 표시된다. 이 메시지는 ‘크롬’ 또는 ‘틱톡’을 설치해야 한다고 유도하는데, 실제로는 해당 앱에 로카롤라 악성코드가 포함되어 있는 방식이다. 설치가 완료되면 악성 앱은 기기 접근성 서비스 권한을 요청하며, 이 권한을 통해 화면 오버레이, 키로깅, SMS·통화 기록 접근 등 다양한 악의적 활동을 수행할 수 있게 된다.

악성코드 전파 경로와 초기 침투 메커니즘

로카롤라의 주요 유포 경로는 악성 웹사이트다. 이 웹사이트들은 구글 크롬이나 틱톡의 공식 다운로드 페이지와 흡사한 인터페이스를 제공해 사용자를 현혹한다. 특히, 모바일 보안 업체인 짐퍼니움의 분석에 따르면, 이 악성 웹사이트들은 구글 플레이 프로텍트의 로고를 도용해 사용자의 신뢰를 얻으려 노력한다. 사용자가 해당 웹사이트에 접속하면, 곧바로 APK 파일 다운로드 링크가 제공되며, 이 파일을 설치하면 로카롤라가 기기에 침투하게 된다.

설치 과정에서 로카롤라는 자체를 ‘구글 플레이 프로텍트’로 위장하는 전략을 사용한다. 사용자에게 ‘보안 업데이트가 필요하니 설치하세요’라는 메시지를 띄워, 악성 APK 설치를 유도하는 것이다. 이 과정에서 악성 앱은 기기 관리자 권한을 요청하는데, 이 권한을 획득하면 사용자가 악성 앱을 제거하려고 해도 시스템에서 완전히 삭제되지 않도록 차단할 수 있다. 또한, 설치 직후 악성 앱은 시스템 앱으로 위장하기 위해 자체 아이콘을 숨기거나, 사용자가 인식하지 못하도록 다양한 은폐 기술을 동원한다.

감염 후 동작: 접근성 서비스와 오버레이 공격

로카롤라가 기기에 침투한 후 가장 먼저 노리는 것은 ‘접근성 서비스(Accessibility Service)’ 권한이다. 이 권한을 획득하면 악성 앱은 화면 상의 모든 요소를 읽고 제어할 수 있게 된다. 예를 들어, 사용자가 금융 앱을 실행하면 로카롤라는 가짜 로그인 화면을 오버레이 형태로 표시해, 사용자의 로그인 정보와 결제 정보를 탈취한다. 이 오버레이 공격은 단순히 데이터 탈취에 그치지 않고, 기기의 잠금 화면 PIN이나 패턴도 가로챌 수 있어 2차 피해가 발생할 수 있다.

짐퍼니움의 분석에 따르면, 로카롤라는 217개의 금융 및 암호화폐 앱을 타겟으로 삼고 있으며, 이 중에는 국내외 은행 앱, 투자 앱, 암호화폐 거래소 앱 등이 포함되어 있다. 사용자가 감염된 기기에서 이러한 앱을 실행하면, 로카롤라는 해당 앱의 UI를 모방한 가짜 로그인 화면을 즉시 표시한다. 사용자가 로그인 정보를 입력하면, 악성 앱은 이를 C2(명령 및 제어) 서버로 전송하며, 동시에 기기의 화면을 그대로 캡처해 추가적인 인증 정보를 탈취하기도 한다.

또한, 로카롤라는 오버레이를 활용해 기기 잠금 상태에서도 활동할 수 있다. 예를 들어, 사용자가 기기를 잠근 상태에서 악성 앱이 가짜 ‘시스템 업데이트’ 화면을 표시하면, 사용자는 이를 실제 시스템 메시지로 오인하고 터치할 수밖에 없다. 이 과정에서 악성 앱은 잠금 화면의 PIN이나 패턴을 기록할 수 있으며, 심지어는 기기를 원격으로 조작할 수도 있다.

C2 서버와의 통신과 고유 식별자 생성

로카롤라는 기기에 침투한 직후 C2 서버와의 통신을 시작한다. 초기 통신 단계에서 악성 앱은 기기의 기본 정보(모델명, 안드로이드 버전, 로케일, 디스플레이 특성, 배터리 상태, 저장 공간, RAM 용량 등)를 C2 서버로 전송한다. 이 정보들은 각 감염 기기에 고유한 식별자를 생성하는 데 사용되며, 공격자가 특정 기기를 타겟으로 삼을지 여부를 결정하는 기준이 된다.

짐퍼니움에 따르면, 이 고유 식별자는 악성 앱이 C2 서버로부터 받은 명령어와 페이로드를 선택하는 데에도 활용된다. 예를 들어, 특정 지역의 사용자나 특정 기기 모델에 특화된 페이로드가 전달될 수 있으며, 이는 악성 앱의 탐지 회피와 공격 효율성을 높이기 위한 전략으로 보인다. 또한, C2 서버는 감염된 기기의 상태를 지속적으로 모니터링하며, 필요에 따라 추가 명령을 내려 악성 활동을 강화할 수 있다.

은폐 및 회피 기술: 플레이 프로텍트 무력화와 아이콘 숨기기

로카롤라는 탐지를 피하기 위해 다양한 은폐 기술을 동원한다. 우선, 악성 앱은 기기에 설치된 구글 플레이 프로텍트를 무력화하는 기능을 보유하고 있다. 이는 악성 앱이 시스템에서 더 오랫동안 활동할 수 있도록 보장하며, 보안 솔루션에 의해 제거되지 않도록 한다. 또한, 악성 앱은 자체 아이콘을 앱 드로어에서 숨기는 기능을 갖추고 있어, 사용자가 악성 앱의 존재를 인지하기 어렵게 만든다.

추가로, 로카롤라는 기기의 오디오와 진동을 무음 처리하는 기능도 갖추고 있다. 이는 C2 서버와의 통신이나 악성 활동이 사용자에게 노출되는 것을 방지하기 위한 것이다. 또한, 악성 앱은 화면을 계속해서 켜 놓는 기능을 통해 사용자의 주의를 끌지 않고 활동할 수 있도록 한다. 이러한 은폐 기술들은 로카롤라가 장기간 감염을 유지하며, 사용자의 데이터를 지속적으로 탈취할 수 있도록 돕는다.

금융 정보 탈취 외의 추가적인 위협 활동

로카롤라의 주된 목표는 금융 정보 탈취이지만, 이 악성코드는 그 외에도 다양한 위협 활동을 수행할 수 있다. 예를 들어, 악성 앱은 SMS 메시지를 가로채거나, 통화 기록을 모니터링할 수 있어, 2차 인증 코드나 OTP를 탈취할 수 있다. 또한, 기기의 연락처 목록을 C2 서버로 전송해, 악성 앱의 2차 확산을 위한 기반을 마련하기도 한다.

특히, 로카롤라는 기기의 잠금 화면을 제어할 수 있는 capabilities를 보유하고 있어, 사용자가 기기를 사용하지 않는 상태에서도 악의적인 활동을 수행할 수 있다. 예를 들어, 악성 앱은 가짜 ‘시스템 업데이트’ 화면을 표시해 사용자를 속이거나, 기기의 화면을 무한히 가동시켜 배터리를 고갈시킬 수도 있다. 이러한 활동들은 기기의 성능을 저하시킬 뿐만 아니라, 사용자의 개인정보를 광범위하게 유출시킬 위험이 있다.

##Jimperium의 분석과 공개된 명령어 세트

모바일 보안 업체 짐퍼니움은 로카롤라 분석 결과를 공개하며, 이 악성코드가 보유한 137개의 명령어 세트를GitHub 저장소에 공개했다. 이 명령어들은 악성 앱이 수행할 수 있는 다양한 활동을 정의하며, 금융 정보 탈취, 화면 제어, 시스템 조작, 데이터 전송 등에 사용된다. 짐퍼니움은 이 저장소를 통해 보안 연구자 및 업계가 로카롤라의 내부 메커니즘을 분석하고, 대응책을 마련할 수 있도록 지원하고 있다.

공개된 명령어 세트를 분석한 결과, 로카롤라는 단순히 금융 정보 탈취에 그치지 않고, 기기 제어, 데이터 탈취, 시스템 조작에 이르기까지 광범위한 capabilities를 보유하고 있는 것으로 나타났다. 예를 들어, 일부 명령어는 기기의 카메라를 제어하거나, 마이크로 음성 녹음을 수행할 수 있는 기능도 포함되어 있는 것으로 확인됐다. 이는 로카롤라가 단순한 뱅킹 트로이잔을 넘어, 스파이웨어로 진화할 가능성을 시사한다.

사용자 및 기업의 대응 전략

로카롤라와 같은 새로운 형태의 안드로이드 악성코드에 대응하기 위해서는 사용자와 기업 모두의 노력이 필요하다. 우선, 사용자는 공식 앱 스토어인 구글 플레이 스토어에서만 앱을 설치해야 한다. 특히, 구글 플레이 스토어 외부의 APK 파일을 설치하는 것은 로카롤라와 같은 악성코드에 노출될 위험이 크므로, 반드시 피해야 한다. 또한, 기기에 설치된 앱의 권한을 주기적으로 점검하고, 접근성 서비스나 SMS·통화 기록 접근 권한을 부여한 앱이 의심스러운 경우 즉시 제거해야 한다.

기업의 경우, 모바일 디바이스 관리(MDM) 솔루션을 도입해 기기 보안을 강화하는 것이 중요하다. MDM 솔루션을 통해 원격으로 기기의 보안 정책을 적용하고, 악성 앱의 설치나 활동 여부를 모니터링할 수 있다. 또한, 엔드포인트 탐지 및 대응(EDR) 솔루션을 활용해 실시간으로 악성 활동을 탐지하고 대응할 수 있도록 해야 한다. 특히, 금융 기관이나 암호화폐 거래소와 같은 고위험 대상의 경우, 모바일 앱 보안 강화와 함께 사용자 교육을 강화하는 것이 필수적이다.

향후 전망과 주의사항

로카롤라와 같은 새로운 안드로이드 악성코드는 지속적으로 진화하고 있으며, 그 capabilities도 점차 고도화되고 있다. 특히, 금융 정보 탈취를 넘어 스파이웨어로 진화하는 추세가 나타나고 있어, 사용자와 기업 모두 주의가 필요하다.Jimperium의 분석 결과에 따르면, 로카롤라는 이미 137개의 명령어를 보유하고 있으며, 이는 악성코드의 capabilities가 빠르게 확장되고 있음을 시사한다.

사용자는 기기 보안 설정을 강화하고, 의심스러운 앱이나 웹사이트에 접근하지 않도록 주의해야 한다. 또한, 금융 앱을 사용할 때는 공인 인증서나 2차 인증 코드를 입력하기 전에 화면의 변화를 주의 깊게 살펴야 한다. 특히, 구글 플레이 프로텍트와 같은 기본 보안 솔루션이 무력화될 수 있으므로, 타사 보안 앱을 병행해 사용하는 것도 고려해볼 만하다. 기업의 경우, 모바일 보안 정책을 주기적으로 검토하고, 새로운 위협에 대응할 수 있는 인프라를 마련해야 한다. 로카롤라와 같은 악성코드는 이미 전 세계적으로 확산되고 있는 만큼, 사전 예방과 실시간 대응이 무엇보다 중요하다.