악성코드 ‘자누비스’, 대금청구서 위장해 은행 자격 증명 탈취

[아이티데일리] 가짜 대금청구서로 사용자를 속인 뒤 은행 자격 증명 등 민감 정보를 탈취하는 악성코드 ‘자누비스(Zanubis)’가 확산하고 있다.

카스퍼스키(지사장 이효은)는 19일 자사 글로벌 리서치 및 분석팀(GReAT)이 모바일 뱅킹 트로이목마 ‘자누비스’의 새로운 변종을 발견했다고 발표했다.

자누비스는 지난 2022년 처음 등장했다. 당시에는 페루 현지 사용자를 겨냥해 PDF 리더기나 페루 정부 기관 앱으로 위장했다. 2025년 현재에는 전 세계 에너지 기업과 은행 앱으로 위장해 그 영역을 넓히고 있다.

이 악성코드는 사회공학 기법으로 사용자가 앱을 다운로드하고 설치하도록 유도한다. 공격자는 설치된 악성 앱을 통해 키보드 입력 정보를 가로채거나 화면을 녹화해 은행 자격 증명 및 디지털·암호화폐 지갑 키를 탈취한다.

카스퍼스키는 이번 캠페인에서 130건 이상의 피해자를 탐지했다. 해당 악성코드를 회사가 모니터링하기 시작한 이후 누적 피해자는 약 1,250명에 이른다.

자누비스는 안드로이드 기반 스마트폰에서 쓰이는 ‘APK’ 파일을 통해 피해자 스마트폰에 침투했다. 에너지 회사를 빙자할 경우, 악성 APK는 ‘Boleta_XXXXXX.apk’(‘청구서’)와 같은 이름으로 배포돼 사용자가 진짜 청구서로 믿고 확인하도록 했다.

가짜 송장 확인 도구로 위장한 앱은 사용자가 미지급 송장을 확인하려면 고객 정보를 입력하라고 요구한다. 은행 앱을 사칭하는 경우에는 상담사 안내라는 명목으로 사용자가 악성코드를 다운로드하도록 유도한다.

안드로이드 기반 스마트폰은 장치 인터페이스와 기능의 여러 측면과 상호작용할 수 있는 접근 권한을 장애인 사용자 지원 기능을 위해 제공한다. 하지만 자누비스의 공격자들은 이를 악용해 화면 내용과 알림을 읽어 비밀번호, 메시지, 금융 정보 등 민감 데이터를 은밀히 수집했다.

카스퍼스키 측은 자누비스를 운영 중인 공격자가 페루 현지에서 활동 중일 것으로 추정했다. 코드 내에 라틴아메리카 지역 스페인어가 쓰였으며, 페루 은행 및 정부 기관에 대해 높은 이해도를 보였기 때문이다.

카스퍼스키 GReAT 레안드로 쿠오초 연구원은 “자누비스는 단순한 뱅킹 트로이목마에서 고도화된 다기능 위협으로 진화했다. 공격자들은 지속적으로 유포 방식을 바꿔가며 새로운 피해자에게 접근한다”며 “사용자는 보안에 대한 경각심을 유지하고 디지털 활용 능력 수준을 높이며, 신뢰할 수 있는 보안 솔루션으로 위협에 대비해야 한다”고 조언했다.

카스퍼스키 이효은 한국 지사장은 “자누비스의 진화는 한국을 포함한 모든 시장에 중요한 교훈을 준다. 사이버 범죄자들은 지속적으로 공격 방식을 정교화하고 있다”며 “특히 한국에서는모바일 중심으로 경제가 움직이는 만큼, 앱 출처를 확인하고 권한을 꼼꼼히 검토해야 한다. 선제적 보안 조치를 위한 제로 트러스트 방식도 필요하다”고 강조했다.