사이버 보안 연구원들은 범죄자들에게 구독 서비스 형태로 배포되는 새로운 안드로이드 RAT(원격 접속 트로이목마)인 '판타지 허브(Fantasy Hub)'를 발표했습니다. 이 악성 프로그램은 러시아어를 사용하는 텔레그램 채널에서 서비스형 악성코드(MaaS) 모델로 판매되고 있습니다.
보도에 따르면, 이 악성코드는 모든 앱을 스파이웨어로 바꾸고, 플레이 스토어 업데이트로 위장하며, SMS를 가로채 2단계 인증(2FA) 정보를 탈취하고, WebRTC를 통해 카메라와 마이크를 실시간으로 스트리밍합니다. 서비스형 악성코드(Malware-as-a-Service) 모델 덕분에 전문 지식이 부족한 공격자도 쉽게 접근할 수 있습니다.
이 스파이웨어는 해커에게 2단계 인증 메시지를 읽고, 은행 계좌에 접근하고, 기기를 실시간으로 감시할 수 있는 기능을 제공합니다.
판타지 허브는 범죄자들에게 가짜 구글 플레이 스토어를 만드는 방법을 가르칩니다
판매자에 따르면 해당 악성 소프트웨어는 기기 제어 및 스파이 행위를 허용합니다. 이를 통해 공격자는 SMS 메시지, 연락처, 통화 기록, 이미지 및 동영상에 접근할 수 있을 뿐만 아니라 수신 알림을 가로채고, 답장하고, 삭제할 수 있습니다.
이 악성 프로그램은 ClayRAT과 유사하게 기본 SMS 권한을 악용하여 SMS 메시지, 연락처, 카메라 및 파일에 접근합니다. 사용자가 기본 SMS 처리 앱으로 설정하도록 유도함으로써, 실행 시 개별 권한을 요청할 필요 없이 한 번에 여러 강력한 권한을 획득할 수 있습니다.
사이버 범죄 방지 솔루션의 고객은 가짜 구글 플레이 스토어 랜딩 페이지를 제작하여 배포하는 방법과 제한을 우회하는 방법에 대한 지침을 받습니다. 구매자는 원하는 아이콘, 이름, 페이지 내용을 선택하여 세련된 디자인의 가짜 페이지를 받을 수 있습니다.
해당 봇은 유료 구독 및 빌더 접근 권한을 관리합니다. 또한, 공격자가 어떤 APK 파일이든 서비스에 업로드하면 악성코드가 내장된 트로이목마 버전을 받을 수 있도록 설계되었습니다. 이 서비스 는 사용자당 주당 200달러 또는 월당 500달러에 이용할 수 있으며, 연간 구독료는 4,500달러입니다.
해당 악성코드와 관련된 명령 및 제어(C2) 패널은 감염된 장치에 대한 세부 정보와 구독 상태에 대한 정보를 제공합니다. 또한 공격자는 이 패널을 통해 다양한 유형의 데이터를 수집하는 명령을 실행할 수 있습니다.
Fantasy Hub은 모바일 뱅킹 사용자를 대상으로 합니다
해당 드롭퍼 앱은 구글 플레이 업데이트처럼 위장하여 사용자를 속이고 필요한 권한을 획득합니다. 그런 다음 가짜 오버레이를 사용하여 알파뱅크, PSB, T-뱅크, 스베르방크와 같은 러시아 금융 기관과 관련된 은행dent정보를 빼냅니다.
Fantasy Hub는 네이티브 드로퍼, WebRTC 기반 라이브 스트리밍을 통합하고 SMS 핸들러 역할을 악용하여 실시간으로 데이터를 탈취하고 합법적인 앱을 가장합니다.
짐페리움 연구원 비슈누 프라타파기리에 따르면, 이 스파이웨어는 BYOD(Bring Your Own Device)를 사용하는 기업 고객에게 직접적인 위협이 됩니다. 또한, 직원들이 모바일 뱅킹이나 민감한 모바일 앱에 의존하는 조직도 위험에 처할 수 있습니다.
이는 Zscaler ThreatLabz가 공격자들이 Anatsa, ERMAC, TrickMo와 같은 정교한 뱅킹 트로이목마를 사용하고 있다고 밝힌 이후 나온 소식입니다. 이러한 악성 프로그램은 공식 앱 스토어와 타사 앱 스토어 모두에서 실제 유틸리티나 생산성 앱처럼 위장하는 경우가 많습니다.
일단 설치되면, 이러한 악성 프로그램은 매우 교묘한 방법을 사용하여 사용자 이름, 비밀번호, 심지어 거래 완료에 필요한 2단계 인증(2FA) 코드까지 획득합니다.
또한 폴란드 긴급대응센터(CERT Polska)는 근거리 무선 통신(NFC) 중계 공격을 통해 폴란드 은행 사용자로부터 카드 정보를 탈취하려는 NGate라는 새로운 안드로이드 악성코드 사례에 대해 경고했습니다.
피해자가 문제의 앱을 실행하면 안드로이드 기기 뒷면에 결제 카드를 터치하여 인증하라는 메시지가 나타납니다. 그러면 앱은 은밀하게 카드의 NFC 데이터를 수집하여 공격자가 제어하는 서버 또는 cash 인출을 위해 설치한 관련 앱으로 전송합니다.
보고서에 따르면 안드로이드 악성코드를 이용한 거래가 매년 67%씩 증가하고 있다고 합니다. 이러한 악성코드는 고도화된 스파이웨어와 뱅킹 트로이목마를 기반으로 합니다. 구글 플레이 스토어에는 약 239개의 악성 앱이 신고되었으며 , 2024년 6월부터 2025년 5월까지 이 앱들이 총 4,200만 번 다운로드되었습니다.
