[보안뉴스 강현주 기자] 대금청구서를 위장한 모바일 뱅킹 악성코드가 발견됐다.
카스퍼스키는 페루 이용자를 겨냥해 가짜 송장으로 은행 자격 증명을 탈취하는 ‘자누비스’ 모바일 뱅킹 트로이목마의 새 변종을 발견했다고 19일 밝혔다.
▲악성 앱이 접근 권한을 요구하는 화면 [자료: 카스퍼스키]
카스퍼스키 글로벌 리서치 및 분석팀(GReAT)에 따르면 자누비스는 2022년 처음 등장했다. 당시 PDF 리더기 또는 페루 정부 기관의 앱으로 위장했다. 2025년에는 전 세계 에너지 기업과 은행 앱으로 위장하고 있다.
이 악성코드는 고도화된 사회공학 기법을 활용해 사용자가 해당 앱을 다운로드하고 설치하도록 유도한다. 이후 은행 자격 증명 및 디지털·가상자산 지갑 키를 탈취한다.
또한 키로깅과 화면 녹화 등 다양한 악성 기능도 수행한다. 카스퍼스키는 이번 캠페인에서 130건 이상의 피해자를 탐지했다. 해당 악성코드를 모니터링하기 시작한 이후 누적 피해자는 약 1250명에 달한다.
안드로이드 기반 스마트폰에서는 앱을 여러 스토어에서 설치할 수 있을 뿐만 아니라 APK 파일을 직접 설치해 스토어를 우회할 수도 있다. 자누비스는 이 APK 파일을 통해 피해자의 스마트폰에 침투했다.
이 앱들은 가짜 송장 확인 도구로 위장하며, 사용자가 미지급 송장을 확인하려면 고객 정보를 입력하라고 요구하는 방식을 쓴다. 사용자가 실제 청구서를 열람하거나 확인하는 것으로 믿도록 속인다. 은행 앱으로 위장해 은행 상담사로부터의 안내라는 명목으로 사용자가 악성코드를 다운로드하도록 유도하기도 한다.
사용자가 APK 파일을 다운로드해 실행하면 조직의 로고를 도용한 초기 화면이 나타난다. 필수 확인 절차가 진행 중이라는 메시지도 표시된다. 이후 앱은 접근 권한을 요구하며 정상 작동을 위해 필요하다고 주장한다.
안드로이드의 접근 권한은 주로 장애인 사용자 지원 기능을 위해 사용된다. 앱이 장치 인터페이스와 기능의 다양한 측면과 상호작용하거나 제어할 수 있도록 한다. 그러나 악성 앱이 이 권한을 얻으면 공격자는 화면 내용 및 알림을 읽어 사용자의 비밀번호와 메시지, 금융 정보 등 민감한 데이터를 은밀히 수집할 수 있다. 자누비스 공격자들은 이러한 방법을 통해 금융 정보 탈취 및 개인정보 접근을 수행했다.
카스퍼스키는 자누비스 배후 공격자가 페루 현지에서 활동 중일 가능성이 높다고 분석했다. 코드 내 라틴아메리카 지역 스페인어가 지속 사용되고 있으며 페루의 은행 및 정부 기관에 대한 높은 이해도를 보이고 있는 점이 근거다.
레안드로 쿠오초 카스퍼스키 글로벌 위협 분석 팀 연구원은 “자누비스는 단순한 뱅킹 트로이목마에서 고도화된 다기능 위협으로 진화했다”며 “주요 표적은 여전히 돈을 크게 탈취할 수 있는 금융기관이며, 특히 페루 내 은행을 집중적으로 노리고 있다”고 전했다.
이효은 카스퍼스키 한국지사장은 “사이버 범죄자들은 브랜드에 대한 신뢰와 지급의 긴급성을 악용해 지속적으로 공격 방식을 정교화하고 있다”며 “이번 공격은 페루를 겨냥했지만 그 기법은 보편적인 위협”이라고 말했다.
이어 “특히 모바일 중심으로 경제가 움직이는 한국에서는 앱의 출처를 확인하고 권한을 꼼꼼히 검토하며 선제적인 보안 조치를 취하는 제로 트러스트 사고방식이 필요하다”며 “공식 앱스토어만으로는 부족하며 사용자의 경계심이 가장 중요한 방어선”이라고 강조했다.
[강현주 기자(jjoo@boannews.com)]
카스퍼스키는 페루 이용자를 겨냥해 가짜 송장으로 은행 자격 증명을 탈취하는 ‘자누비스’ 모바일 뱅킹 트로이목마의 새 변종을 발견했다고 19일 밝혔다.
▲악성 앱이 접근 권한을 요구하는 화면 [자료: 카스퍼스키]
카스퍼스키 글로벌 리서치 및 분석팀(GReAT)에 따르면 자누비스는 2022년 처음 등장했다. 당시 PDF 리더기 또는 페루 정부 기관의 앱으로 위장했다. 2025년에는 전 세계 에너지 기업과 은행 앱으로 위장하고 있다.
이 악성코드는 고도화된 사회공학 기법을 활용해 사용자가 해당 앱을 다운로드하고 설치하도록 유도한다. 이후 은행 자격 증명 및 디지털·가상자산 지갑 키를 탈취한다.
또한 키로깅과 화면 녹화 등 다양한 악성 기능도 수행한다. 카스퍼스키는 이번 캠페인에서 130건 이상의 피해자를 탐지했다. 해당 악성코드를 모니터링하기 시작한 이후 누적 피해자는 약 1250명에 달한다.
안드로이드 기반 스마트폰에서는 앱을 여러 스토어에서 설치할 수 있을 뿐만 아니라 APK 파일을 직접 설치해 스토어를 우회할 수도 있다. 자누비스는 이 APK 파일을 통해 피해자의 스마트폰에 침투했다.
이 앱들은 가짜 송장 확인 도구로 위장하며, 사용자가 미지급 송장을 확인하려면 고객 정보를 입력하라고 요구하는 방식을 쓴다. 사용자가 실제 청구서를 열람하거나 확인하는 것으로 믿도록 속인다. 은행 앱으로 위장해 은행 상담사로부터의 안내라는 명목으로 사용자가 악성코드를 다운로드하도록 유도하기도 한다.
사용자가 APK 파일을 다운로드해 실행하면 조직의 로고를 도용한 초기 화면이 나타난다. 필수 확인 절차가 진행 중이라는 메시지도 표시된다. 이후 앱은 접근 권한을 요구하며 정상 작동을 위해 필요하다고 주장한다.
안드로이드의 접근 권한은 주로 장애인 사용자 지원 기능을 위해 사용된다. 앱이 장치 인터페이스와 기능의 다양한 측면과 상호작용하거나 제어할 수 있도록 한다. 그러나 악성 앱이 이 권한을 얻으면 공격자는 화면 내용 및 알림을 읽어 사용자의 비밀번호와 메시지, 금융 정보 등 민감한 데이터를 은밀히 수집할 수 있다. 자누비스 공격자들은 이러한 방법을 통해 금융 정보 탈취 및 개인정보 접근을 수행했다.
카스퍼스키는 자누비스 배후 공격자가 페루 현지에서 활동 중일 가능성이 높다고 분석했다. 코드 내 라틴아메리카 지역 스페인어가 지속 사용되고 있으며 페루의 은행 및 정부 기관에 대한 높은 이해도를 보이고 있는 점이 근거다.
레안드로 쿠오초 카스퍼스키 글로벌 위협 분석 팀 연구원은 “자누비스는 단순한 뱅킹 트로이목마에서 고도화된 다기능 위협으로 진화했다”며 “주요 표적은 여전히 돈을 크게 탈취할 수 있는 금융기관이며, 특히 페루 내 은행을 집중적으로 노리고 있다”고 전했다.
이효은 카스퍼스키 한국지사장은 “사이버 범죄자들은 브랜드에 대한 신뢰와 지급의 긴급성을 악용해 지속적으로 공격 방식을 정교화하고 있다”며 “이번 공격은 페루를 겨냥했지만 그 기법은 보편적인 위협”이라고 말했다.
이어 “특히 모바일 중심으로 경제가 움직이는 한국에서는 앱의 출처를 확인하고 권한을 꼼꼼히 검토하며 선제적인 보안 조치를 취하는 제로 트러스트 사고방식이 필요하다”며 “공식 앱스토어만으로는 부족하며 사용자의 경계심이 가장 중요한 방어선”이라고 강조했다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
_m.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
