다중 라이센스 할인 견적
위협 데이터베이스 모바일 맬웨어 Anatsa 모바일 맬웨어 공격 캠페인

Anatsa 모바일 맬웨어 공격 캠페인

모바일 맬웨어, 뱅킹 트로이 목마년에 Mezo 년까지
번역 :

사이버 보안 연구원들이 아나차 트로이 목마를 통해 조직된 새로운 안드로이드 뱅킹 악성코드 공격을 발견했습니다. 티봇(TeaBot) 또는 토들러(Toddler)라고도 불리는 이 정교한 위협은 미국과 캐나다 사용자를 표적으로 삼는 캠페인으로 다시 부상했습니다. 구글 플레이 스토어에 게시된 합법적인 앱을 통해 사기성 수법을 사용하는 것입니다.

문서 도구로 위장한 악성코드

이 캠페인의 중심에는 '문서 뷰어 - 파일 리더'(APK 패키지: 'com.stellarastra.maintainer.astracontrol_managerreadercleaner')라는 유틸리티로 위장한 드로퍼 앱이 있습니다. 무해한 PDF 도구로 위장한 이 앱은 '하이브리드 카 시뮬레이터, 드리프트 & 레이싱'이라는 개발사가 배포했는데, 이 이름 자체도 의심을 불러일으킵니다. 상당한 다운로드 수를 기록한 후, 업데이트에 악성 코드가 삽입되어 피해자의 기기에 Anatsa를 다운로드하고 설치했습니다.

이 앱은 2025년 5월 7일에 출시되어 2025년 6월 29일까지 무료 도구 카테고리에서 4위를 차지했습니다. 그 시점까지 약 9만 건의 다운로드를 기록한 후 삭제되었습니다. 이후 Google은 이 앱과 관련 개발자 계정을 Play 스토어에서 삭제했음을 확인했습니다.

은밀한 전략과 익숙한 플레이북

Anatsa 캠페인은 검증된 사이클을 따릅니다.

합법적인 앱 배포 : 깔끔하고 완벽한 기능을 갖춘 앱을 Play 스토어에 업로드합니다.

지연된 감염 : 상당한 규모의 사용자 기반을 구축한 후 악성 코드가 포함된 업데이트를 푸시합니다.

자동 설치 : 맬웨어는 원래 패키지에서 보이지 않게 별도의 앱으로 설치됩니다.

목표 과제 : 외부 서버에서 동적으로 가져온 공격 대상 금융 기관 목록을 수신합니다.

이 다단계 공격은 Anatsa의 지속적인 성공 전략의 일환입니다. 초기 단계에서는 잠복해 있다가 신뢰와 지지를 얻은 후에야 활성화함으로써, 이 캠페인은 조기 탐지를 피하고 짧지만 효과적인 배포 기간, 즉 2025년 6월 24일부터 6월 30일까지의 기간 동안 그 영향력을 극대화합니다.

금융 사기에 대한 고급 기능

Anatsa가 설치되면 재정적 착취를 목표로 하는 다양한 악성 활동이 가능해집니다.

  • 오버레이 공격과 키로깅을 통한 자격 증명 도용.
  • 기기 인수 사기(DTO)는 사용자 기기에서 직접 거래를 시작하는 수법입니다.
  • 합법적인 뱅킹 앱에 대한 접근을 막고 감지를 지연시키는 가짜 유지 관리 알림을 통해 사용자 작업을 방해합니다.

    • 이러한 오버레이는 사용자에게 은행 앱이 유지 관리를 위해 일시적으로 다운된 것으로 생각하게 하지만 실제로는 자격 증명이 유출되어 승인되지 않은 거래에 사용될 가능성이 있습니다.

    아나차 위협의 세계적 진화

    2020년에 처음 발견된 Anatsa는 상당히 진화했습니다. 2024년 초에는 유사한 수법으로 슬로바키아, 슬로베니아, 체코 공화국의 사용자를 공격했으며, 최초 배포 후 몇 주 만에 무해한 앱이 악성 앱으로 변질되었습니다. 이 악성코드가 적응하고 지리적 범위를 확장하는 능력은 전 세계 모바일 뱅킹 고객에게 지속적인 위협이 되고 있음을 보여줍니다.

    최근 북미에서 진행된 캠페인은 Anatsa가 미국과 캐나다 금융 기관에 점점 더 관심을 갖고 있다는 것을 보여주는 사례이며, 사소한 조정만으로 성공적인 공격 방법을 신속하게 전환하고 재사용할 수 있는 능력을 보여줍니다.

    보호 조치 및 업계 대응

    금융 서비스 부문의 조직은 다음을 촉구받습니다.

    • 모바일 기기에서 발생하는 의심스러운 활동을 모니터링합니다.
    • 가짜 앱 오버레이와 승인되지 않은 업데이트의 위험성에 대해 고객을 교육하세요.
    • 자격 증명이 손상된 경우에도 사기를 감지하기 위해 인증 메커니즘을 강화합니다.

    사용자를 위한 주요 위험 신호:

    • 업데이트 후 비정상적인 권한을 요청하는 앱.
    • 뱅킹 앱에 "유지관리" 오버레이가 갑자기 나타납니다.
    • 앱 개발자 이름이나 앱 카테고리에 일관성이 없습니다.

    Google은 이 캠페인에 관련된 악성 앱이 Google Play 스토어에서 제거되었다고 밝혔습니다.

    마지막 생각

    아나차(Anatsa) 캠페인은 디지털 생태계에서 신뢰가 얼마나 빠르게 악용될 수 있는지를 여실히 보여줍니다. 구글 플레이 스토어라는 신뢰받는 환경에 침투한 이 악성코드는 수천 대의 기기에 성공적으로 침투했습니다. 지속적인 교육, 적극적인 보안 모니터링, 그리고 건전한 회의주의는 이처럼 진화하는 위협에 맞서는 최선의 방어책입니다.


    트렌드

    Ijony.click

    불량 웹사이트, 애드웨어
    Infosec 연구원들은 Ijony.click 페이지가 운영자가 온라인 전술을 실행하기 위한 플랫폼으로 사용하는 악성 웹사이트임을 확인했습니다. 실제로, 사이트는 방문자를 속이기 위해 평판이 좋은 정보 보안 소스에서 오는 것처럼 표시되는 수많은 가짜 보안 경고를 표시하는 것으로 관찰되었습니다. 이러한 의심스러운 페이지는 종종 합법적인 컴퓨터 보안...

    Unmatiotorly.com

    불량 웹사이트, 애드웨어, 브라우저 하이재커
    사기꾼들은 인터넷 사용자를 속이기 위해 끊임없이 새로운 수법을 고안합니다. 이러한 사기 수법의 대부분은 정교한 악성코드에 의존하는 것이 아니라 사용자의 신뢰와 주의력 저하를 악용합니다. 이러한 사기성 플랫폼 중 하나는 사용자를 조종하여 악성 브라우저 알림을 활성화하도록 설계된 악성 웹사이트인 Unmatiotorly.com입니다. 이 사이트의 운영...

    IlexAquifolium

    잠재적으로 원하지 않는 프로그램
    기술의 세계에서 편리함은 대가를 치르는 경우가 많습니다. 브라우저 확장 프로그램은 온라인 경험을 향상시킬 수 있지만 일부는 겉보기에 순진해 보이는 겉모습 뒤에 안전하지 않은 의도를 숨기고 있습니다. IlexAquifolium은 그러한 예 중 하나입니다. 즉, PUP(잠재적으로 원하지 않는 프로그램) 및 다양한 사이버 위협의 벡터 역할을 모두 수행하면서...

    가장 많이 본

    '프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

    문제
    59,521
    프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
    화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

    화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

    문제
    46,898
    처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

    Discord가 회색 화면에 멈춤

    문제
    45,974
    때때로 Discord 응용 프로그램을 사용하는 동안 사용자가 회색 화면에서 멈출 수 있습니다. 스트리밍 또는 단순히 응용 프로그램을 로드하는 동안 문제가 발생할 수 있습니다. 이 문제가 발생하고 해결 방법이 궁금하다면 다음 해결 방법을 시도해 보십시오. 화면 모드 간 전환 원인이 시각적 결함이고 더 심각한 것이 아닌 경우 전체 화면 모드 또는 더 작은...
    로드 중...