금융보안원(원장 김철웅)은 PDF 리더, QR코드 스캐너 등으로 위장하여 구글 플레이를 통해 유포되는 Anatsa가 최근 국내 금융을 대상으로 공격 범위를 확대함을 발견해 금융회사 및 백신업체 등에 즉각 공유하였다고 밝혔다.

Anatsa는 2021년 초 유럽 금융 앱을 대상으로 금융정보 탈취 공격을 시작한 안드로이드 기반 악성 앱으로, TeaBot이라고도 불린다.

해당 악성 앱은 매년 공격 대상을 확대해왔으며, 금융보안원 분석 결과 2024년 6월 기준으로 한국을 포함한 54개 국가의 금융·핀테크·가상화폐 등 688개 앱이 금융정보 탈취 대상에 포함된 것을 확인하였다.

Anatsa 악성 앱은 다음과 같이 설치 및 동작된다.

정상적인 서비스로 위장하여 구글 플레이 스토어에 등록된 앱(PDF 리더, QR코드 스캐너 등)이 스마트폰에 설치되면, 앱 업데이트를 가장하여 Anatsa 악성 앱이 유포지 서버로부터 다운로드되어 설치된다. Anatsa 악성 앱은 원격에서 스마트폰을 조종할 수 있는 C2(Command & Control) 서버의 명령에 따라 데이터(스크린샷, 문자, 인증코드 등)를 탈취하고, 스마트폰을 제어(화면잠금 해제, 화면 터치, 값 입력 등)한다. 탈취한 데이터는 C2 서버로 전송된다.

악성 앱은 특히 사용자가 입력한 내용을 바로 가로채는 키로깅 공격이나 가상의 유사 화면을 띄워 사용자가 입력한 정보를 탈취하는 오버레이 공격을 활용하여 개인의 금융정보를 탈취한다.

또한, 모바일 백신·클리너 실행을 방해하고, 스마트폰 종료나 설정 메뉴 접근을 차단하여 악성 앱이 종료 또는 삭제되는 것을 막는다.

그동안 이와 유사한 악성 앱은 주로 해외에서 유포되었으나, Anatsa를 필두로 국내에도 계속해서 유입될 것으로 예상된다.

김철웅 원장은 “금융의 디지털 전환에 따라 비대면 금융거래가 활성화되면서 금융 앱을 노리는 악성 앱들이 대폭 증가하였다”라며 “이러한 악성 앱들이 공식 앱 스토어를 통해서도 유포된다는 점에서 금융소비자의 각별한 주의가 필요하다”고 말했다.

이러한 악성 앱으로부터 개인·금융정보를 보호하기 위한 유의사항은 다음과 같다.

◇앱 설치 전 사용자 리뷰, 약관, 포럼 등을 확인

◇ 앱 실행에 필요하지 않는 권한 비활성화

◇출처를 알 수 없는 앱 설치 비활성화

◇최신 버전의 OS 사용 및 보안 업데이트 수행

◇최신 버전의 모바일 백신 사용 및 주기적인 검사 수행

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★