상세 컨텐츠
본문
by 이스트시큐리티 마케팅팀
안녕하세요, 이스트시큐리티입니다.
최근 보안 업계에서는 안드로이드 환경을 겨냥한 새로운 악성코드 ‘알비리옥스(Albiriox)’가 등장해 빠르게 확산되고 있다는 분석 결과가 공유되었습니다. 이 악성코드는 단순 정보 탈취 수준을 넘어, 공격자가 피해자의 스마트폰을 완전히 원격 조종해 금융 사기를 직접 수행할 수 있는 고도화된 형태의 위협으로 확인되었습니다.
멀웨어 서비스(MaaS) 형태로 확산, 공격자에게 ‘완전 제어 권한’ 제공
보안 기업 Cleafy 연구팀에 따르면 알비리옥스는 On-Device Fraud(ODF) 수행을 위해 설계된 악성코드로, 감염 시 공격자가 스마트폰 화면을 실시간 스트리밍하며 직접 금융 사기를 실행할 수 있도록 합니다. 이를 위해 VNC 모듈이 내장되어 있으며, 이를 통해 이중 인증(2FA)을 포함한 여러 보안 절차도 무력화할 수 있습니다.
특히 러시아어권 사이버 범죄 조직이 월 구독료 형태의 MaaS(서비스형 멀웨어) 모델로 배포한 것으로 드러났습니다. 이는 최근 공격 생태계가 자동화·규모화를 넘어, ‘부담 없이 구독하여 악용할 수 있는’ 범죄 산업 구조로 빠르게 전환되고 있음을 보여줍니다.
감염 과정: SMS 기반 사회공학 + 2단계 드롭퍼 체인
알비리옥스는 초기 공격에서 오스트리아 이용자를 대상으로 ‘Penny Market’ 위장 앱을 활용한 피싱을 수행했습니다. 공격 과정은 아래와 같이 구조화돼 있습니다.
1. SMS 기반 사회공학
단축 URL을 포함한 문자 메시지를 발송해 가짜 Google Play 페이지로 유도.
2. 드롭퍼 설치
사용자가 앱을 설치하면 ‘알 수 없는 앱 설치’ 권한을 요구하며 실제 페이로드 다운로드 준비.
3. 본 페이로드(Albiriox) 설치
C2 서버로부터 악성코드를 내려받아 실행.
최신 캠페인에서는 WhatsApp 기반 다운로드 링크 입력 방식을 활용해 특정 지역(예: 오스트리아) 사용자만 정교하게 선별하는 기법까지 적용되었습니다.
탐지 회피 위해 ‘Golden Crypt’ 기술까지 사용, 400개 이상 금융·암호화폐 앱 표적
알비리옥스는 정적 분석 탐지를 우회하기 위해 Golden Crypt라는 암호화 기반 난독화 기술을 사용해 AV 탐지를 적극 회피합니다. 동작 단계에서는 Accessibility 권한을 활용한 오버레이 공격, 키로깅, 화면 제어 등을 수행하며, 공격 대상 앱 리스트에는 전 세계 금융기관 앱과 암호화폐 지갑 등 400개 이상의 고위험 타깃이 포함돼 있습니다.
알비리옥스 기술적 구성 요약
| 구분 | 내용 |
| 악성코드 유형 | Android Banking Trojan / RAT |
| 배포 모델 | Malware-as-a-Service(MaaS) |
| 핵심 기법 | On-Device Fraud(ODF), VNC 스트리밍, Accessibility 오남용 |
| 표적 범위 | 400+ 금융·암호화폐 애플리케이션 |
| 탐지 회피 | Golden Crypt 기반 난독화, JSONPacker, 2단계 드롭퍼 |
| C2 통신 | JSON 기반 명령 전송, 비암호화 TCP |
공격 인프라(IOCs)
| 유형 | 정보 |
| C2 서버 | 194[.]32[.]79[.]94:5555 |
| 피싱/드롭퍼 도메인 | google-app-download[.]download, google-get[.]download, google-aplication[.]download, play.google-get[.]store, google-app-get[.]com, google-get-app[.]com, google-app-install[.]com |
사용자 주의 권고 사항
알비리옥스는 스마트폰을 도구로 삼아 공격자가 직접 금융 사기를 실행한다는 점에서 기존 안드로이드 악성코드보다 위험 수준이 훨씬 높습니다. 특히 화면 스트리밍 기반 ODF 공격은 사용자 모르게 실시간으로 금융 계정 탈취가 가능해 대응이 더욱 어려워질 수 있습니다.
이러한 유형의 공격은 대부분 문자, 메신저 링크, 가짜 앱 설치를 통해 시작되므로 사용자의 ‘클릭 습관’을 악용하기 쉽습니다. 최근 국내에서도 스미싱 및 통신사·택배사 사칭 피싱이 폭증하고 있으며, 사회공학 기법의 정교함이 빠르게 높아지고 있습니다.
사용자가 꼭 지켜야 할 핵심 수칙
- 문자·메신저로 전달된 APK 설치 유도 링크는 절대 실행하지 않기
- 앱 설치는 반드시공식 앱스토어(Google Play)를 통해서만 진행
- 스마트폰에서 ‘접근성 권한’을 요구하는 앱은 설치 즉시 의심
- 금융·메신저 앱의 비정상 동작 시 즉시 점검
- 알 수 없는 앱/권한 요청은 즉시 차단
🔎 Tip Plus | 알약 모바일, 스미싱·악성앱 탐지 연동 강화
이스트시큐리티는 최근 고도화된 모바일 금융 위협 증가에 대응하기 위해 알약 모바일 앱을 통해 AI 기반 스미싱 탐지, 악성 앱 위험도 평가, 패밀리케어 기반 보호 기능 등을 제공하고 있습니다.
알약 패밀리케어 서비스는 Google Cloud 기반 AI 분석 환경을 활용해 스미싱·악성앱 탐지 정확도를 높이고 있으며, 사용자의 가족 기기까지 통합 모니터링하는 ‘가족 보안 기능’입니다.
알비리옥스는 단순한 악성코드가 아니라, 사용자의 스마트폰을 공격자에게 넘겨주는 원격 조종 플랫폼에 가깝습니다. 향후 이와 유사한 MaaS 기반 안드로이드 위협이 국내에도 확산될 가능성이 크기 때문에 사용자와 기업 모두 더욱 높은 경각심이 필요합니다.
이스트시큐리티는 최신 위협 정보를 지속적으로 모니터링하고 있으며, 모바일 금융 사기 및 스미싱 위협에 대응할 수 있도록 기술 고도화를 이어가고 있습니다. 앞으로도 이스트시큐리티는 신종 모바일 위협 분석과 대응 기술 확보를 통해 보다 안전한 디지털 환경을 제공하는 데 최선을 다하겠습니다.
[참고 출처]
- Cleafy Labs, <Albiriox Exposed: A New RAT Mobile Malware Targeting Global Finance and Crypto Wallets>, 25-11-26
- The Hacker News, <New Albiriox MaaS Malware Targets 400+ Apps for On‑Device Fraud>, 25-12-01
- Security Affairs, <Emerging Android threat ‘Albiriox’ enables full On‑Device Fraud>, 25-11-30
- Malwarebytes Labs, <New Android malware lets criminals control your phone and drain your bank account>, 25-12-01
'이스트시큐리티 소식' 카테고리의 다른 글
| 고객정보 유출 이후, 이용자가 꼭 확인해야 할 보안 가이드 (0) | 2025.12.01 |
|---|---|
| 부고·청첩장 문자 한 번의 클릭으로 120억 피해! 부모님 세대가 주요 타깃 (0) | 2025.11.27 |
| AI 실시간 탐지로 모바일 보안을 더 안전하게! - ‘알약 패밀리케어’ 출시! (1) | 2025.11.25 |
| 문서가 기업의 핵심 자산인 이유! 왜 '문서중앙화'가 대안일까? (0) | 2025.11.24 |
| 매월 100억 건 스미싱 시대, 당신의 스마트폰은 안전한가요? (0) | 2025.11.20 |
댓글 영역