Klopatra Banking Trojan
이전에 알려지지 않은 안드로이드 뱅킹 트로이 목마인 클로파트라(Klopatra)가 3,000대 이상의 기기를 감염시켰으며, 스페인과 이탈리아가 가장 큰 피해를 입었습니다. 2025년 8월 말 정보보안 연구원들이 발견한 이 정교한 악성코드는 원격 접속 트로이 목마(RAT) 기능과 첨단 우회 기법을 결합하여 금융 정보를 표적으로 삼고 사기 거래를 가능하게 합니다.
목차
정교한 공격 기술과 원격 제어
클로파트라는 숨겨진 가상 네트워크 컴퓨팅(VNC)을 활용하여 감염된 기기를 원격으로 제어합니다. 동적 오버레이를 사용하여 자격 증명을 훔치고 무단 거래를 실행합니다. 기존 모바일 악성코드와 달리 클로파트라는 네이티브 라이브러리와 상용급 Virbox 코드 보호 제품군을 통합하여 탐지 및 분석을 매우 어렵게 만듭니다.
해당 악성코드의 명령제어(C2) 인프라와 언어적 단서를 분석한 결과, 터키어를 사용하는 범죄 조직이 클로파트라를 공개형 악성코드 서비스(MaaS)가 아닌 개인 봇넷 형태로 운영하고 있는 것으로 나타났습니다. 2025년 3월 이후 해당 트로이 목마는 40개의 서로 다른 빌드로 확인되었습니다.
피해자들이 유인되는 방식
클로파트라는 소셜 엔지니어링 기법을 통해 확산되며, IPTV 스트리밍 애플리케이션과 같이 무해한 도구로 위장한 드로퍼 앱을 설치하도록 사용자를 속입니다. 이러한 앱은 사용자가 신뢰할 수 없는 출처에서 불법 복제 소프트웨어를 설치하려는 의도를 악용합니다.
드로퍼가 설치되면 알 수 없는 출처의 패키지를 설치할 수 있는 권한을 요청합니다. 그런 다음 내장된 JSON 패커에서 주요 클로파트라 페이로드를 추출합니다. 이 악성코드는 또한 안드로이드 접근성 서비스를 요청하는데, 이는 장애가 있는 사용자를 지원하도록 설계되었지만 다음과 같은 목적으로 악용될 수 있습니다.
- 화면 내용 읽기
- 키 입력 기록
- 자율적으로 작업을 실행합니다
이를 통해 공격자는 피해자의 동의 없이 금융 사기를 저지를 수 있습니다.
스텔스 및 복원력을 위한 고급 아키텍처
클로파트라는 진보적이고 탄력적인 디자인으로 돋보입니다.
- Virbox 통합은 맬웨어를 분석으로부터 보호합니다.
- 은밀성을 높이기 위해 핵심 기능이 Java에서 네이티브 라이브러리로 바뀌었습니다.
- 광범위한 코드 난독화, 디버깅 방지, 런타임 무결성 검사로 인해 탐지가 어렵습니다.
- 운영자는 VNC를 통해 다음과 같은 기능을 포함하여 실시간으로 세부적인 제어를 얻을 수 있습니다.
- 악성 활동을 숨기기 위해 검은색 화면 오버레이를 제공합니다.
- 은행 거래를 비밀리에 실행합니다.
- 타겟 금융 및 암호화폐 앱에 동적으로 가짜 로그인 화면을 전송합니다.
이 맬웨어는 사전 설치된 바이러스 백신 소프트웨어를 비활성화하고, 접근성 서비스를 사용하여 권한을 확대하여 종료를 방지할 수도 있습니다.
사기 실행 및 전략적 타이밍
클로파트라의 요원들은 신중하게 조직된 공격 순서를 따릅니다.
- 기기가 충전 중인지, 화면이 꺼져 있는지, 기기가 유휴 상태인지 확인하세요.
- 화면 밝기를 0으로 줄이고 검은색 오버레이를 표시합니다.
- 도난당한 PIN이나 패턴을 사용하여 은행 앱에 접속합니다.
- 감지되지 않은 채로 여러 건의 즉각적인 은행 송금을 실행하세요.
이러한 야간 전략을 사용하면 장치에 전원이 공급되고 관리자가 없는 상태를 유지하여 피해자가 잠자는 동안 공격자가 공격할 수 있는 이상적인 시간을 확보할 수 있습니다.
금융 부문에 대한 영향
클로파트라가 모바일 악성코드를 완전히 새롭게 창조한 것은 아니지만, 위협의 정교함이 크게 향상되었음을 보여줍니다. 운영자는 상업용 수준의 보호 기능과 은밀한 전략을 채택함으로써 수익성과 운영 수명을 극대화합니다.
Google은 Google Play에서 감염된 앱이 발견되지 않았다고 확인했지만, 해당 맬웨어가 타사 및 불법 복제 앱 배포 채널에 의존한다는 점은 모바일 사용자에게 지속적인 위험이 있음을 강조합니다.
