PDF 도구로 위장한 은행 트로이 목마에 50,000명 이상이 감염되었습니다

연구자들은 Anatsa 악성 소프트웨어가 돌아왔다고 말하고 있습니다. 이번에는 가짜 Google Play 앱에 숨어 북미 사용자들을 대상으로 은행 계정 정보와 자금을 훔치고 있습니다.

ThreatFabric 연구원들에 따르면, Anatsa라는 위험한 안드로이드 은행 악성 소프트웨어가 미국과 캐나다 사용자들을 대상으로 새로운 공격을 시작했습니다.

연구자들은 이것이 적어도 세 번째로 악성 소프트웨어가 북미 모바일 은행 고객을 대상으로 초점을 맞추었으며, 그것이 익숙하고 성공적인 기술을 사용하고 있다고 말합니다.

아나차(Anatsa)는 고도로 정교한 디바이스 인수 트로이 목마로서, 사이버범죄자들이 은행 자격증명을 도난하고, 키 입력을 로그에 기록하며, 감염된 휴대전화에서 원격으로 사기 행위를 수행할 수 있게 해줍니다. 이 악성 소프트웨어는 파일 관리자나 PDF 리더와 같이 처음에는 무해해 보이는 애플리케이션 내부에 숨어 있으며, 이들은 공식 Google Play Store에 업로드됩니다.

연구자들은 이 애플리케이션은 다른 유용한 도구와 마찬가지로 작동한다고 설명합니다. 먼저, 이는 다운로드를 통해 사용자의 신뢰를 얻습니다. 최근의 경우에는 50,000회 이상의 다운로드를 통해 신뢰를 얻었습니다. 그런 다음, 몇 주 후에 업데이트가 조용히 Anatsa 악성 소프트웨어를 설치합니다. 그때부터 감염된 휴대전화는 무기가 됩니다.

이 악성 소프트웨어는 원격 서버와 통신하여 공격할 은행 앱을 선택합니다. 사용자가 은행에 로그인하려고 하면 가짜 유지보수 메시지가 나타납니다: “현재 우리의 서비스를 개선 중이며, 곧 모든 것이 다시 정상적으로 작동할 것입니다. 귀하의 인내심에 감사드립니다.”

이 메시지는 사용자들이 해킹당하고 있는 것을 인지하지 못하게 차단하며, 동시에 맬웨어는 무단 거래를 진행하거나 로그인 정보를 캡쳐합니다.

최근의 캠페인에서는 가짜 “PDF 업데이트” 애플리케이션이 “Top Free Tools” 목록에서 세 번째 위치에 오르기도 하였습니다. 이 애플리케이션은 6월 30일에 구글 플레이 스토어에서 제거되기 전까지 짧은 시간 동안 많은 사용자에게 상당한 피해를 입혔습니다.

사이버 보안 전문가들은 아나차(Anatsa)의 미국 은행에 대한 증가하는 관심과 주기적인 공격, 앱 스토어 조작을 통한 성공으로 인해 그것이 점점 커지는 위협이라고 말합니다. 금융 기관들은 경계를 늦추지 않고 이 진화하는 전략에 대해 사용자들에게 알리라는 촉구가 이어지고 있습니다.