Rokarolla Banking Trojan

사이버 보안 연구원들이 명령 및 제어(C2) 인프라의 이름을 딴 새로운 안드로이드 뱅킹 트로이목마 '로카롤라(Rokarolla)'를 발견했습니다. 이 악성코드는 광범위한 금융 서비스를 표적으로 삼도록 설계되었으며, 217개의 은행 및 암호화폐 애플리케이션을 공격할 수 있습니다. 137개의 원격 명령 기능을 갖춘 로카롤라는 사이버 범죄자들에게 감염된 기기에 대한 탁월한 수준의 제어 권한을 제공합니다.

일단 설치되면, 이 악성 프로그램은 잠금 화면 보호 기능을 제거하고, SMS 메시지를 가로채서 전송하고, 클립보드 내용을 조작하여 암호화폐 이체를 다른 곳으로 돌리고, 심지어 구글의 내장 보안 메커니즘까지 비활성화할 수 있습니다.

가짜 애플리케이션을 통한 위장 유통

로카롤라는 틱톡이나 구글 크롬과 같은 합법적이고 인기 있는 애플리케이션으로 위장한 악성 웹사이트를 통해 주로 유포됩니다.

피해자는 먼저 Google Play Protect를 사칭하는 드로퍼 애플리케이션을 다운로드합니다. 이 드로퍼는 신뢰할 수 있는 것처럼 보이는 외관을 악용하여 사용자가 접근성 서비스 권한을 부여하도록 유도하고 악성 페이로드를 설치합니다. 실행 후, Rokarolla의 명령 중 하나가 Play Protect를 즉시 비활성화하여 Android 보안의 중요한 계층을 제거합니다.

자격 증명을 탈취하기 위해 설계된 오버레이 공격

자격 증명 탈취는 정교한 오버레이 공격을 통해 이루어집니다. 로카롤라는 명령 서버에서 공격 대상 애플리케이션 목록을 가져와 해당 애플리케이션에 대응하는 가짜 HTML 로그인 페이지를 다운로드합니다. 이러한 위조 인터페이스는 로컬에 저장되어 피해자가 정식 은행 또는 암호화폐 애플리케이션을 열 때마다 표시됩니다.

가짜 화면은 사용자 이름, 비밀번호, 결제 카드 정보 등 사용자가 입력하는 모든 정보를 캡처하도록 설계되었습니다. 연구원들은 은행 애플리케이션 '이매진(imagin)'을 매우 정교하게 모방한 사례를 하나 발견했습니다.

이 악성 소프트웨어는 PIN, 패턴 및 비밀번호를 수집할 수 있는 가짜 안드로이드 잠금 화면 오버레이를 배포합니다. 이러한 기능을 통해 공격자는 기기가 잠겨 있는 경우에도 접근 및 제어 권한을 유지할 수 있습니다.

자격 증명 도용, 감시 및 금융 사기를 하나의 패키지로 제공합니다.

Rokarolla는 다양한 감시 및 절도 메커니즘을 결합하여 데이터 수집과 금전적 이득을 극대화합니다.

• 완벽한 SMS 모니터링 및 메시지 전송 기능을 통해 은행 인증 및 거래 승인에 사용되는 일회용 비밀번호를 가로챌 수 있습니다.
• 해당 악성 프로그램은 기기의 기본 메시지 및 통화 애플리케이션으로 자신을 지정하여 수신 전화를 차단할 수 있으며, 이로 인해 사기 경고 메시지가 피해자에게 전달되지 못할 가능성이 있습니다.

• 통합된 키로깅 및 화면 로깅 기능은 사용자 활동을 캡처하고, 연락처 및 알림은 지속적으로 수집됩니다.

• 클립보드 조작을 통해 복사된 암호화폐 지갑 주소를 공격자가 제어하는 주소로 조용히 바꿔치기하여 피해자 몰래 자금을 빼돌릴 수 있습니다.

은밀한 감시 기술로 발각을 피하세요

미디어프로젝션 기반 화면 녹화를 이용하는 많은 안드로이드 악성코드 계열과 달리, 로카롤라는 보다 은밀한 감시 전략을 채택합니다. 녹화 알림을 표시하는 대신, 접근성 서비스를 통해 스크린샷을 캡처하고, 이를 PNG 파일로 압축하여 운영자에게 개별적으로 전송합니다.

이러한 접근 방식은 공격자에게 사용자 활동에 대한 자세한 정보를 제공하면서도 탐지 가능성을 낮춥니다. HOOK 및 Klopatra와 같은 악성코드 계열에서 사용하는 숨겨진 VNC 구현 방식과 비교했을 때, Rokarolla의 스크린샷 기반 모니터링은 더 간단하고 은밀합니다.

탄력적인 인프라와 확산되는 악성코드 추세

이 악성 소프트웨어는 공격 시도에 대한 저항력을 갖도록 설계되었습니다. 코드 내에는 여러 개의 백업 명령 및 제어 도메인이 내장되어 있으며, 운영자는 필요에 따라 추가 서버를 동적으로 할당할 수 있습니다. 따라서 단일 명령 서버를 비활성화하더라도 전체 운영에는 큰 영향을 미치지 않습니다.

이 악성코드의 방대한 명령어 세트는 이전에 HOOK 뱅킹 트로이목마에서 확인된 107개 명령어를 훨씬 뛰어넘으며, 이는 2026년 한 해 동안 관찰된 안드로이드 뱅킹 악성코드의 정교함이 점점 더 커지고 있음을 반영합니다. 공격 방식은 최근 점점 더 흔해지고 있는 익숙한 패턴을 따릅니다.

• 가짜 애플리케이션 설치 프로그램을 통한 배포.
• 접근성 서비스를 악용하여 권한을 상승시키고 기기를 제어하는 행위.
• HTML 기반 오버레이를 사용하여 자격 증명 및 민감한 정보를 수집합니다.

방어적 조치는 여전히 중요합니다

Rokarolla는 소프트웨어 취약점이 아닌 악성코드이기 때문에, 이 위협을 완전히 제거할 수 있는 보안 패치는 없습니다. 보호를 위해서는 기존의 안드로이드 보안 수칙을 준수해야 합니다.

앱은 반드시 공식 Google Play 스토어에서만 설치해야 하며, Google Play Protect는 항상 활성화된 상태로 유지해야 합니다. 또한 접근성 권한을 요청하는 예상치 못한 메시지가 나타나면 심각한 경고 신호로 간주해야 합니다. 접근성 접근 권한은 Rokarolla 공격의 핵심이며, 이 악성 프로그램의 가장 위험한 기능들을 가능하게 합니다.

출처는 불명확합니다

현재까지 Rokarolla는 공개적으로 확인된 위협 행위자나 사이버 범죄 조직과 연관되어 있지 않습니다. 그러나 Rokarolla의 설계는 Play Protect, 잠금 화면 보호 기능 및 기타 내장 보안 제어 기능을 포함하여 안드로이드 사용자가 신뢰하도록 권장되는 보호 기능을 의도적으로 우회하려는 시도를 분명히 보여줍니다.

이 악성 소프트웨어의 기능은 안드로이드 뱅킹 트로이목마의 지속적인 진화와 금전적 이득을 노린 모바일 위협의 정교함이 점점 더 높아지고 있음을 보여줍니다.