무슨 일이 발견됐나
2026년 3월, 네덜란드 보안 기업 ThreatFabric이 새로운 안드로이드 뱅킹 트로이목마 Perseus를 발견했다. Perseus는 기존에 악명 높았던 Cerberus와 Phoenix 악성코드를 기반으로 진화한 "더 유연하고 강력한 플랫폼"으로, 역대 최초로 안드로이드 메모 앱을 체계적으로 탐색해 민감 정보를 추출하는 기능을 갖추고 있다.
BleepingComputer에 따르면, Perseus는 현재 터키와 이탈리아를 주요 표적으로 삼고 있으며, IPTV 서비스를 위장한 앱을 통해 사이드로딩 방식으로 배포되고 있다.
Perseus의 공격 방식
Perseus의 감염 과정은 다음과 같이 진행된다.
- 위장 앱 설치: 사용자가 공식 스토어가 아닌 외부 경로에서 IPTV 위장 앱을 다운로드한다
- 접근성 서비스 요청: 설치 직후 안드로이드 접근성 서비스(Accessibility Service) 권한을 요청한다. 접근성 서비스는 원래 장애인 보조 기능이지만, 악용하면 화면의 모든 내용을 읽고 조작할 수 있다
- 뱅킹 앱 오버레이: 사용자가 뱅킹 앱을 열면 가짜 로그인 화면을 덮어씌워 계정 정보를 탈취한다
- 메모 앱 스캔: Google Keep, Samsung Notes, Xiaomi Notes, ColorNote, Evernote, OneNote, Simple Notes 등 주요 메모 앱을 탐색해 비밀번호, 계좌번호, 개인 메모 등 민감 정보를 수집한다
- 원격 제어(DTO): 접근성 서비스를 활용한 원격 세션으로 기기를 실시간 모니터링하고 전체 제어한다
The Hacker News에 따르면, Perseus 코드에는 영문 로깅 메시지와 이모지가 포함되어 있어 AI 코딩 도구를 활용해 개발된 징후가 보인다.
메모 앱이 왜 위험한가
많은 사람이 비밀번호, 계좌번호, 인증 코드, 카드 번호 같은 민감 정보를 메모 앱에 저장한다. 메모 앱은 비밀번호 관리 앱과 달리 데이터를 암호화하지 않는 경우가 많고, 접근성 서비스 권한을 가진 앱은 메모 내용을 그대로 읽을 수 있다.
| 표적 메모 앱 | 사용자 규모 | |---|---| | Google Keep | 10억+ 다운로드 | | Samsung Notes | 삼성 기기 기본 탑재 | | Xiaomi Notes | 샤오미 기기 기본 탑재 | | Evernote | 2억+ 사용자 | | OneNote | Microsoft 365 사용자 | | ColorNote | 1억+ 다운로드 | | Simple Notes | 수천만 다운로드 |
Perseus 이전에도 뱅킹 트로이목마가 오버레이 공격으로 금융 정보를 훔치는 사례는 많았지만, 메모 앱까지 체계적으로 탐색하는 것은 이번이 처음이다. 이는 공격자들이 금융 앱 보안이 강화되자 우회 경로를 찾고 있다는 신호다.
지금 할 수 있는 대응법
- 공식 스토어만 사용한다: Google Play Store나 Galaxy Store 외부에서 APK 파일을 다운로드하지 않는다. IPTV나 스트리밍 서비스를 위장한 앱에 특히 주의한다
- 접근성 권한 요청을 의심한다: 일반 앱이 접근성 서비스 권한을 요청하면 거부한다. 설정 > 접근성에서 현재 권한을 가진 앱 목록을 점검한다
- 메모 앱에 비밀번호를 저장하지 않는다: 비밀번호, 계좌번호, 인증 코드 등 민감 정보는 전용 비밀번호 관리 앱(예: Bitwarden, 1Password)을 사용한다
- 뱅킹 앱 2FA를 설정한다: SMS 인증 대신 앱 기반 2단계 인증(OTP)을 사용해 계정 보안을 강화한다
- Google Play Protect를 활성화한다: 설정 > 보안 > Google Play Protect에서 앱 검사 기능이 켜져 있는지 확인한다
참고 자료