새로운 Rokarolla 안드로이드 악성코드, PIN, SMS 코드, 암호화폐 지갑 자금 훔쳐
원문 출처: The Hacker News | 분야: 보안 뉴스 | 수집일: 2026년 06월 18일 | 원문 보기
원문 제목: New Rokarolla Android Malware Steals PINs, SMS Codes, and Crypto Wallet Funds
핵심 요약
• 새로운 Rokarolla 안드로이드 악성코드, PIN, SMS 코드, 암호화폐 지갑 자금 훔쳐
Zimperium의 zLabs 보안 연구원들은 217개의 뱅킹 및 암호화폐 앱을 표적으로 삼고 137개의 원격 명령을 포함하는 새로운 Android 뱅킹 트로이 목마인 Rokarolla를 문서화했습니다.
• 이를 통해 운영자는 감염된 휴대폰을 거의 완벽하게 제어할 수 있습니다.
• 잠금 화면 PIN을 해제하고, SMS를 읽고 보내고, 클립보드를 다시 작성하여 암호화폐 결제를 리디렉션하고, Google Play 프로텍트를 끄는 등의 작업을 수행합니다.
• com의 이름을 딴 Rokarolla.
전문 번역
새로운 Rokarolla 안드로이드 악성코드, PIN, SMS 코드, 암호화폐 지갑 자금 훔쳐
Zimperium의 zLabs 보안 연구원들은 217개의 뱅킹 및 암호화폐 앱을 표적으로 삼고 137개의 원격 명령을 포함하는 새로운 Android 뱅킹 트로이 목마인 Rokarolla를 문서화했습니다.
이를 통해 운영자는 감염된 휴대폰을 거의 완벽하게 제어할 수 있습니다. 잠금 화면 PIN을 해제하고, SMS를 읽고 보내고, 클립보드를 다시 작성하여 암호화폐 결제를 리디렉션하고, Google Play 프로텍트를 끄는 등의 작업을 수행합니다.
명령 및 제어 서버의 이름을 딴 Rokarolla는 TikTok 및 Chrome과 같이 잘 알려진 앱으로 가장하는 악성 웹사이트를 통해 확산됩니다.
피해자가 가장 먼저 설치하는 것은 Google Play Protect인 것처럼 가장하는 드로퍼입니다. 해당 변장을 사용하여 페이로드를 설치하고 접근성 액세스 권한을 얻습니다. 맬웨어가 실행되면 해당 명령 중 하나가 Play Protect를 끕니다.
도난은 오버레이를 통해 진행됩니다. Rokarolla는 서버에서 대상 목록을 가져와 활성 플래그가 지정된 각 앱에 대해 가짜 HTML 로그인 페이지를 다운로드하여 로컬 데이터베이스에 저장합니다. 피해자가 실제 은행 앱이나 지갑 앱을 열면 악성코드는 가짜 페이지를 맨 위에 놓고 카드 세부정보를 포함해 거기에 입력된 모든 내용을 캡처합니다.
보고서에는 은행 앱 'imagin'을 모방한 가짜 페이지가 나와 있습니다. 별도의 오버레이는 Android 잠금 화면을 모방하여 PIN, 패턴 또는 비밀번호를 캡처하므로 운영자는 휴대폰이 잠겨 있는 동안에도 휴대폰을 제어할 수 있습니다.
이는 장치의 모든 SMS를 읽고 메시지 자체를 보낼 수 있는데, 이는 은행이 로그인 및 거래를 승인하는 데 사용하는 SMS 일회성 코드를 확보하기에 충분합니다. 문자 및 전화를 위한 기본 앱을 자체적으로 설정함으로써 수신 전화를 차단할 수도 있으므로 은행의 경고 전화가 절대 전달되지 않습니다.
키로거와 스크린 로거는 사용자가 입력하고 보는 내용을 기록하며, 트로이 목마는 연락처를 스크랩하고 알림을 읽습니다. 클립보드가 자동으로 다시 작성되어 공격자의 지갑 주소가 바뀌므로 복사된 암호화폐 결제가 잘못된 계정에 전달됩니다.
감시를 위해 Rokarolla는 시각적 녹화 프롬프트를 표시하는 일반적인 MediaProjection 스크린 캐스팅을 건너뛰고 대신 접근성을 통해 스크린샷을 찍어 PNG로 압축한 후 한 번에 한 프레임씩 전송합니다. 이러한 스냅샷 접근 방식은 Klopatra와 같은 제품군에서 볼 수 있는 실시간 숨겨진 VNC보다 더 간단하고 조용합니다.
이 악성코드는 여러 대체 C2 도메인을 전달하고 즉시 새로운 도메인을 전달할 수 있으므로 단일 서버를 가져오는 것만으로는 거의 효과가 없습니다. HOOK 트로이 목마에 포함된 107개 Zimperium보다 명령 수가 137개 더 많습니다. 플레이북은 가짜 앱 드롭퍼, 접근성 남용, HTML 오버레이 등 2026년 Android 뱅커의 물결을 통해 실행되는 것과 동일합니다.
여기에는 적용할 패치가 없습니다. 이는 제품 결함이 아닌 악성 코드이므로 방어는 Android 은행가의 표준입니다. Google Play에서만 앱을 설치하고 Play Protect를 켜진 상태로 두고 예상치 못한 접근성 요청을 위험 신호로 처리하세요. 하나의 권한이 전체 공격 체인을 주도하기 때문입니다.
Zimperium은 자체 제품이 해당 제품군을 감지하며 침해 지표는 GitHub 저장소에 있다고 밝혔습니다.
Zimperium은 Rokarolla를 명명된 그룹에 묶지 않았습니다. 빌드가 보여주는 것은 의도입니다. Play 프로텍트부터 잠금 화면까지 사용자가 의존해야 하는 정확한 보호 기능을 이기기 위해 함께 모인 은행원입니다.
댓글