금융보안원

알림마당

페이스북 바로가기

기획부 2024-07-04

제목 : 해외 금융을 노리는 악성 앱, 한국에 상륙하다: 금융소비자 주의 필요

◇ Anatsa, 정상 앱을 가장하여 구글 플레이를 통해 유포되고 금융정보를 탈취

□ 금융보안원(원장 김철웅)은 PDF 리더, QR코드 스캐너 등으로 위장하여 구글 플레이를 통해 유포되는 Anatsa가 최근 국내 금융을 대상으로 공격 범위를 확대함을 발견하여 금융회사 및 백신업체 등에 즉각 공유하였다고 밝혔다.

ㅇ Anatsa는 2021년 초 유럽 금융 앱을 대상으로 금융정보 탈취 공격을 시작한 안드로이드 기반 악성 앱으로, TeaBot이라고도 불린다.

ㅇ 해당 악성 앱은 매년 공격 대상을 확대해왔으며, 금융보안원 분석 결과 2024년 6월 기준으로 한국을 포함한 54개 국가의 금융·핀테크·가상화폐 등 688개 앱이 금융정보 탈취 대상에 포함된 것을 확인하였다.

□ Anatsa 악성 앱은 다음과 같이 설치 및 동작한다.

external_image

< Anatsa 악성 앱 설치 및 동작 과정 >

➊➋ 정상적인 서비스로 위장하여 구글 플레이 스토어에 등록된 앱(PDF 리더, QR코드 스캐너 등)이 스마트폰에 설치되면, 앱 업데이트를 가장하여 Anatsa 악성 앱이 유포지 서버로부터 다운로드되어 설치된다.

➌ Anatsa 악성 앱은 원격에서 스마트폰을 조종할 수 있는 C2(Command & Control) 서버의 명령에 따라 데이터(스크린샷, 문자, 인증코드 등)를 탈취하고, 스마트폰을 제어(화면잠금 해제, 화면 터치, 값 입력 등)한다.

➍ 탈취한 데이터는 C2 서버로 전송된다.

□ 악성 앱은 특히 사용자가 입력한 내용을 바로 가로채는 키로깅 공격이나 가상의 유사 화면을 띄워 사용자가 입력한 정보를 탈취하는 오버레이 공격을 활용하여 개인의 금융정보를 탈취한다.

※ [참고] Anatsa 악성 앱 주요 기능 참조

ㅇ 또한, 모바일 백신·클리너 실행을 방해하고, 스마트폰 종료나 설정 메뉴 접근을 차단하여 악성 앱이 종료 또는 삭제되는 것을 막는다.

ㅇ 그동안 이와 유사한 악성 앱은 주로 해외에서 유포되었으나, Anatsa를 필두로 국내에도 계속해서 유입될 것으로 예상된다.

□ 김철웅 원장은 “금융의 디지털 전환에 따라 비대면 금융거래가 활성화되면서 금융 앱을 노리는 악성 앱들이 대폭 증가하였다”면서

ㅇ “이러한 악성 앱들이 공식 앱 스토어를 통해서도 유포된다는 점에서 금융소비자의 각별한 주의가 필요하다.”고 밝혔다.

[악성 앱으로부터 개인·금융정보를 보호하기 위한 유의사항]

- 앱 설치 전 사용자 리뷰, 약관, 포럼 등을 확인

- 앱 실행에 필요하지 않는 권한 비활성화

- 출처를 알 수 없는 앱 설치 비활성화

- 최신 버전의 OS 사용 및 보안 업데이트 수행

- 최신 버전의 모바일 백신 사용 및 주기적인 검사 수행

※ 스마트폰에 악성 앱이 설치된 경우 스마트폰을 안전모드로 부팅한 후 악성 앱을 제거할 수 있음