신종 안드로이드 악성코드 3종 — 금융·가상화폐 겨냥 위협 고도화

신종 안드로이드 악성코드 3종 발견 — 금융·가상화폐 겨냥한 고도화된 위협

모바일 보안 업계가 **신규 안드로이드 악성코드 3종(FvncBot, SeedSnatcher, ClayRat 신버전)**이 동시에 발견됐다고 발표했다. 이번 악성코드들은 공통적으로 접근성 서비스(Accessibility Service)를 악용해 사용자의 금융정보, 가상화폐 지갑 시드문구(seed phrase), 인증코드까지 탈취할 수 있는 등 기존보다 한층 고도화된 공격 능력을 보이고 있다.

이번 위협 분석은 Intel 471, CYFIRMA, Zimperium 등 글로벌 보안기업이 공개했으며, 특히 금융·가상화폐 사용자를 직접 겨냥한 공격이 늘어나는 추세와 맞물려 주의가 요구된다.

1️⃣ FvncBot — 폴란드 모바일뱅킹 겨냥한 신규 제작 악성코드

FvncBot은 기존 뱅킹 악성코드의 소스코드를 재활용한 형태가 아니라, **처음부터 새롭게 제작된 독립 악성코드**로 분석됐다. 주로 폴란드 모바일뱅킹 사용자를 겨냥하며, ‘mBank 보안 앱’을 사칭해 유포됐다.

주요 기능은 다음과 같다.

• 접근성 서비스 기반 키로깅
• Web-inject 기반 금융정보 탈취
• Screen Streaming(화면 스트리밍) 및 HVNC 원격 조작
• 전체 화면 오버레이를 통한 로그인 정보 탈취
• 설치된 앱 목록·기기 정보 유출

악성 앱은 실행 즉시 “구글 플레이 보안 기능 설치” 알림을 띄워 사용자를 속이고, 추가 악성 페이로드 설치로 이어지도록 만들어졌다. 이는 최신 안드로이드 버전에서 접근성 권한 요청이 제한된 점을 우회하기 위한 기법이다.

2️⃣ SeedSnatcher — 텔레그램 기반 유포, 가상화폐 지갑 시드문구 표적

SeedSnatcher는 주로 Telegram에서 ‘Coin’이라는 이름으로 배포되며, 가상화폐 지갑의 **시드문구(seed phrase) 탈취에 특화된 악성코드**다.

탐지 회피를 위한 고급 기법도 탑재되어 있다.

• 동적 클래스 로딩으로 정적 분석 회피
• 악성 WebView 콘텐츠 삽입
• C2 통신을 정수 기반으로 난독화
• 초기 최소 권한 요청 → 설치 후 권한 단계적 상승
• SMS 가로채기 통한 2FA 인증코드 탈취

가상화폐 앱 UI를 그대로 복제한 오버레이까지 띄워 사용자가 시드문구를 직접 입력하도록 유도하는 점이 특히 위험하다. CYFIRMA는 제작 과정에 중국어 기반 지침이 포함된 점을 근거로 중국계 해킹조직 연계 가능성을 제기했다.

3️⃣ ClayRat 신버전 — PIN 자동 해제·지속 오버레이까지 장악 수준

Zimperium은 기존 ClayRat이 대폭 강화된 신버전으로 등장했다고 분석했다. 해당 악성코드의 기능은 사실상 기기 조작권을 완전히 가져가는 수준이다.

• 키로깅, 화면 모니터링, 알림 가로채기
• 오버레이 지속 표시로 정상 앱 사용 방해
• PIN·패턴·비밀번호 자동 입력 후 잠금해제
• 접근성 서비스 및 SMS 권한 기반 조작

유튜브 프리미엄 기능을 제공한다는 내용의 피싱 사이트 25곳, 러시아 앱을 사칭한 드로퍼 앱 등 다양한 경로로 유포되는 것으로 조사됐다.

4️⃣ 공통 위협: “접근성 서비스가 모든 악성코드의 핵심 통로”

세 악성코드는 모두 ‘접근성 서비스’를 집중적으로 악용한다는 공통점이 있다. 접근성 권한이 활성화되면 화면 내용 확인, 키 입력 감시, 터치 조작 등 사실상 완전한 기기 제어가 가능하기 때문이다.

전문가들은 다음과 같은 대응을 권고한다.

• 구글 플레이 외 출처 앱 설치 금지
• 접근성 서비스 활성화를 요구하는 앱은 반드시 의심
• 기업은 접근성 기반 오남용 탐지 기능을 갖춘 모바일 보안 솔루션 도입

특히 모바일 금융·가상화폐 공격이 빠르게 진화하고 있는 만큼, 개인 사용자와 기업 모두 즉각적인 대책이 필요하다는 데 업계 의견이 모이고 있다.