글로벌 보안업체 카스퍼스키(Kaspersky)가 모바일 뱅킹 트로이목마 ‘자누비스(Zanubis)’의 새로운 변종을 발견했다고 19일 밝혔다. 이 악성코드는 페루 지역 사용자를 대상으로 ‘청구서’ 또는 ‘송장’으로 위장한 APK 파일을 통해 배포되며, 사용자의 은행 자격 증명과 암호화폐 지갑 키 등 민감한 정보를 탈취하는 기능을 수행하는 것으로 확인됐다.
■페루 사용자 대상 청구서 위장…앱 실행 시 금융정보 요구
카스퍼스키 글로벌 리서치 및 분석팀(GReAT)은 최근 자누비스 트로이목마가 페루 지역에서 다시 활동을 시작했으며, ‘Boleta_XXXXXX.apk’(청구서) 또는 ‘Factura_XXXXXX.apk’(송장) 등의 파일명을 사용해 악성 앱을 유포하고 있다고 밝혔다. 사용자가 해당 앱을 설치하면, 에너지 회사나 은행 로고가 삽입된 가짜 인증 화면이 나타나고, 미지급 송장을 확인하라는 명목으로 이름, 연락처, 고객번호 등 개인정보 입력을 유도한다.
일부 사례에서는 공격자가 은행 상담사를 사칭해 피해자에게 악성 APK를 설치하도록 유도하는 시나리오도 확인됐다.
■접근성 권한 악용…키로깅·화면 녹화 등 광범위한 악성 기능 수행
악성 앱은 설치 후 ‘정상 작동을 위한 권한 요청’이라는 문구와 함께 안드로이드 접근성 권한을 요구한다. 접근성 권한은 원래 장애인 사용자 지원을 위한 기능이지만, 이를 악용할 경우 공격자는 사용자의 화면을 모니터링하거나 알림 내용을 읽을 수 있으며, 키로깅, 비밀번호 탈취, SMS 감시, 앱 제어 등이 가능해진다.
자누비스는 이러한 권한을 바탕으로 피해자의 금융정보, 메시지, 화면 정보 등 다양한 개인정보를 은밀히 수집하며, 특히 은행 앱과 디지털 자산 지갑을 주요 표적으로 삼고 있다.
카스퍼스키에 따르면 이번 캠페인에서 현재까지 130건 이상의 감염 사례가 확인됐으며, 자누비스에 감염된 누적 피해자는 약 1,250명에 달하는 것으로 집계됐다.
■라틴아메리카 지역 타깃…공격자, 페루 금융기관에 대한 높은 이해 보여
카스퍼스키는 자누비스를 배포하는 공격자들이 페루 현지에서 활동하고 있을 가능성이 높다고 분석했다. 자누비스의 악성코드 내부에는 라틴아메리카 지역에서 사용하는 스페인어가 지속적으로 사용되고 있으며, 페루 정부 기관과 주요 은행에 대한 높은 이해도를 바탕으로 한 위장 전략이 사용되고 있기 때문이다.
카스퍼스키 글로벌 위협 분석 팀(GReAT)의 레안드로 쿠오초(Leandro Cuozzo) 연구원은 “자누비스는 초기의 단순한 뱅킹 트로이목마에서 진화해, 고도화된 사회공학 기법과 다양한 악성 기능을 탑재한 위협으로 변화했다”며 “공격자들은 쉬지 않고 전술을 바꿔가며 피해자에게 조용히 접근하고 있으며, 그 표적은 여전히 돈을 탈취할 수 있는 금융기관”이라고 경고했다.
■ “공식 스토어도 100% 안전 아냐…사용자 경각심이 최후 방어선”
카스퍼스키코리아 이효은 지사장은 “이번 자누비스 사례는 한국을 포함한 전 세계 사용자들에게 중요한 경고 메시지를 전하고 있다”며 “사이버범죄자들은 브랜드에 대한 신뢰, 그리고 ‘지급의 긴급성’을 악용해 공격을 정교화하고 있다. 모바일 중심 경제를 가진 한국에서는 제로 트러스트 사고방식이 절실하며, 출처 확인과 권한 검토, 선제적 보안 조치가 필수”라고 강조했다.
그는 이어 “공식 앱스토어(App Store, Google Play)도 100% 안전하지 않다. 최근 카스퍼스키는 Apple App Store를 통해 유포된 악성코드 ‘SparkCat’를 발견했고, 이는 Google Play에서도 발견돼 두 플랫폼에서 총 20개 앱이 감염된 사례가 있다”고 설명했다.
■카스퍼스키가 권장하는 사용자 보안 수칙
-카스퍼스키는 자누비스와 같은 모바일 위협으로부터 자신을 보호하기 위해 다음과 같은 수칙을 권장했다.
-공식 앱스토어 이용: 앱은 App Store 또는 Google Play에서만 다운로드하되, 이 역시 완전한 보장을 제공하지 않기 때문에 주의가 필요하다.
-출처 확인: 앱 다운로드 시 항상 공식 웹사이트 링크를 확인하고, 사용자 리뷰를 꼼꼼히 확인한다.
-보안 솔루션 설치: 카스퍼스키 프리미엄(Kaspersky Premium)과 같은 신뢰할 수 있는 보안 솔루션을 사용해 악성 앱 탐지를 강화한다.
-앱 권한 검토: 설치한 앱의 접근 권한을 주기적으로 검토하며, 특히 접근성 권한과 같은 고위험 권한은 신중히 부여한다.
-시스템 업데이트: 운영체제 및 주요 앱을 최신 버전으로 유지해 보안 취약점을 최소화한다.
카스퍼스키의 GReAT(Global Research & Analysis Team)은 2008년 설립된 사이버 위협 분석 전문 조직으로, APT 공격, 사이버 스파이 활동, 주요 맬웨어, 랜섬웨어 등 글로벌 위협 요소들을 추적 및 분석하고 있다. 현재 유럽, 아시아, 라틴아메리카, 중동 등지에서 활동하는 35명 이상의 보안 전문가들이 소속되어 있으며, 혁신적인 악성코드 분석 기술을 기반으로 전 세계 사이버보안 동향을 선도하고 있다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
![[긴급] 비욘드트러스트 원격지원 제품, 인증 없는 RCE 취약점 발견…위협 심각](https://www.dailysecu.com/news/photo/202506/167118_195885_527.jpg)
