[데일리시큐]카스퍼스키, 에너지기업·은행 앱 위장한 ‘자누비스’ 변종 포착…금융정보 주의

내용 요약

카스퍼스키는 페루 지역에서 모바일 뱅킹 트로이목마 'Zanubis'의 새로운 변종이 활동 중임을 발견했습니다. 이 악성코드는 청구서나 송장으로 위장한 APK 파일을 통해 배포되며, 설치 시 금융 정보 입력을 요구하여 사용자의 은행 자격 증명, 암호화폐 지갑 키 등 민감한 정보를 탈취합니다.

핵심 포인트

• 페루 지역을 대상으로 Zanubis 악성코드 재등장
• 청구서 또는 송장으로 위장한 APK 파일 형태로 배포
• 사용자의 금융 정보 및 암호화폐 지갑 키 탈취 목적
• AccessibilityService 악용 및 화면 녹화 기능 추가

기술 세부 내용

1️⃣ Zanubis (자누비스)

• Zanubis는 안드로이드 기기를 대상으로 하는 모바일 뱅킹 트로이목마입니다.
• 사용자의 금융 정보 (은행 계좌 정보, 신용카드 정보, 로그인 자격 증명 등)와 암호화폐 지갑 키를 탈취하는 것이 주요 목적입니다.
• 이전 버전에서는 SMS 메시지 가로채기, 연락처 정보 탈취 등의 기능도 있었습니다.
• 이번 변종은 페루 지역 사용자를 타겟으로 하고 있습니다.

2️⃣ APK 파일 배포 방식

• 악성코드는 "Bol" 또는 "PagoEfectivo"와 관련된 청구서나 송장으로 위장한 APK 파일 형태로 배포됩니다.
• 사용자가 이 파일을 설치하면 Zanubis 악성코드가 기기에 설치됩니다.
• 정상적인 앱 스토어가 아닌 다른 경로를 통해 배포되는 것으로 추정됩니다.

3️⃣ 정보 탈취 기법

• 앱 실행 시, 금융 앱과 유사한 인터페이스를 표시하여 사용자에게 금융 정보 입력을 유도합니다.
• 입력된 정보는 공격자에게 전송됩니다.
• AccessibilityService를 악용하여 사용자의 기기 조작을 감시하고 정보를 탈취할 수 있습니다.
• 화면 녹화 기능을 통해 사용자의 활동을 녹화하고 추가 정보를 수집할 가능성도 있습니다.

4️⃣ Kaspersky (카스퍼스키)

• 러시아에 기반을 둔 글로벌 사이버 보안 회사입니다.
• 악성 소프트웨어 탐지 및 제거, 침입 방지 시스템, 안티 바이러스 소프트웨어 등 다양한 보안 솔루션을 제공합니다.
• 글로벌 리서치 및 분석팀(GReAT)을 통해 지속적으로 새로운 위협을 조사하고 분석합니다.

5️⃣ AccessibilityService (접근성 서비스)

• 안드로이드 운영체제의 기능으로, 장애가 있는 사용자를 위해 설계되었습니다.
• 앱이 사용자 인터페이스와 상호 작용하고, 시스템 이벤트에 반응할 수 있도록 합니다.
• 악성 앱이 AccessibilityService 권한을 획득하면 사용자의 입력을 가로채거나, 화면 내용을 읽거나, 기기를 제어할 수 있습니다.
• 이러한 특징 때문에 악성코드 제작자들이 악용하는 사례가 증가하고 있습니다.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=167115