‘Albiriox’ 악성코드, 금융 앱 400개 노린다

🔍 Albiriox가 뭔가

• Albiriox는 2025년 9월 폐쇄 베타로 처음 등장했고, 10월 이후 암시장에서 월 구독 방식의 MaaS(Malware‑as‑a‑Service)로 판매되기 시작했다. (Security Affairs)

• 러시아어권 사이버 범죄 그룹이 개발한 것으로 보이며, 정교한 설계와 빠른 개발 속도를 가진 악성코드다. (Cleafy)

🛡️ 무엇이 그렇게 위험한가

• 단순한 크리덴셜 탈취가 아니라, 감염된 기기를 실시간으로 원격 제어 (화면 스트리밍 + 조작)할 수 있다. 공격자는 사용자의 폰을 마치 자신의 손에 있는 것처럼 자유롭게 탭·입력·앱 실행이 가능하다. (Malwarebytes)

• 또한 Accessibility Service 남용과 화면 위에 가짜 로그인 화면을 덮는 “오버레이 공격(overlay attack)”을 함께 사용해, 2단계 인증이나 기기 인증을 우회하고 계좌·지갑을 탈취할 수 있다. (Malwarebytes)

🌐 타깃과 범위

• 하드코딩된 대상 앱만 400여 개 이상 — 은행, 핀테크, 결제 프로세서, 암호화폐 지갑 및 거래소 포함. (The Hacker News)

• 전 세계를 타깃으로 삼고 있으며, 단일 국가나 앱에 국한되지 않는 글로벌 스케일의 금융 사기 도구다. (Cyber Security News)

🧪 공격 방식 — 어떻게 침투하나

• 문자(SMS)나 메신저 링크(예: WhatsApp)를 통해 악성 앱 설치를 유도하는 스미싱/피싱 방식이 주로 사용된다. 위장된 “가짜 앱 스토어” 또는 “가짜 리테일 앱”처럼 보이는 앱이 먼저 설치되는 드로퍼(dropper) 역할을 수행한다. (Security Affairs)

• 드로퍼는 이후 실제 악성 페이로드를 다운로드하고, 기기 권한을 요구한 뒤 백그라운드에서 원격 제어 도구를 활성화한다. 이 과정에서는 정적 탐지를 피하기 위한 난독화, 패킹 기법 등이 활용된다. (Cleafy)

⚠️ 왜 눈여겨봐야 할 위협인가

• 기존 안드로이드 뱅킹 악성코드는 “비밀번호 또는 인증정보 탈취”가 주된 목적이었다. 반면 Albiriox는 “사용자의 실제 세션과 기기”를 그대로 악용해, 금융 사기 탐지 시스템을 우회할 수 있는 직접적인 자금 탈취 도구라는 점에서 한층 더 진화한 위협이다. (findsec.org)

• MaaS 모델이라는 점에서 기술 지식이 부족한 범죄자도 손쉽게 접근할 수 있고, 확산 속도가 매우 빠르다. 구독료만 내면 누구나 사용 가능한 툴이기 때문이다. (Security Affairs)