안드로이드 기기에서 OTP 코드를 훔치는 방법에 대한 경고

보안 회사 Zimperium의 연구원들은 이 악성 캠페인을 발견하고 2022년 2월부터 이를 추적해 왔습니다. 그들은 이 캠페인과 관련된 최소 107,000개의 다양한 맬웨어 샘플을 감지했다고 보고했습니다.

이 악성코드는 600개 이상의 글로벌 브랜드에서 OTP 코드가 포함된 메시지를 추적하며, 그중 일부는 수억 명의 사용자를 보유하고 있습니다. 해커의 목적은 금전적인 것입니다.

텔레그램 봇, APK 파일 전송 위해 사용자에게 전화번호 제공 요청

짐페리움(Zimperium)에 따르면, SMS 탈취 악성코드는 악성 광고나 피해자와 자동으로 소통하는 텔레그램 봇을 통해 유포됩니다. 해커가 공격하는 데 사용하는 시나리오는 두 가지가 있습니다.

구체적으로, 첫 번째 사례에서 피해자는 가짜 Google Play 사이트에 접속하도록 속아 넘어갑니다. 두 번째 사례에서 텔레그램 봇은 사용자에게 불법 복제된 안드로이드 앱을 제공하겠다고 약속하지만, APK 파일을 받으려면 먼저 전화번호를 제공해야 합니다. 이 봇은 해당 전화번호를 사용하여 새로운 APK 파일을 생성하여 해커가 향후 피해자를 추적하거나 공격할 수 있도록 합니다.

짐페리엄(Zimperium)은 이 악성 캠페인이 2,600개의 텔레그램 봇을 사용하여 13개의 명령 및 제어(C&C) 서버에 의해 제어되는 다양한 안드로이드 APK를 홍보했다고 밝혔습니다. 피해자는 113개국에 분포되어 있었지만, 대부분은 인도와 러시아 출신이었습니다. 미국, 브라질, 멕시코에서도 상당한 수의 피해자가 발생했습니다. 이러한 수치는 이 캠페인의 배후에 있는 대규모의 고도로 정교한 작전에 대한 우려를 불러일으킵니다.

전문가들은 이 악성코드가 캡처된 SMS 메시지를 'fastsms.su' 웹사이트의 API 엔드포인트로 전송한다는 사실을 발견했습니다. 이 웹사이트는 해외 가상 전화번호에 대한 접근 권한을 판매하는데, 이 번호는 온라인 플랫폼과 서비스의 익명화 및 인증에 사용될 수 있습니다. 감염된 기기가 피해자의 동의 없이 악용되었을 가능성이 높습니다.

또한, 피해자는 SMS 접근 권한을 부여함으로써 악성코드가 SMS 메시지를 읽고 계정 등록 및 2단계 인증 과정에서 OTP 코드를 포함한 민감한 정보를 훔칠 수 있도록 허용합니다. 결과적으로 피해자는 통신 요금이 급등하거나, 본인도 모르게 불법 행위에 연루되어 기기와 전화번호를 추적당할 수 있습니다.

악의적인 사람들의 함정에 빠지지 않으려면 Android 사용자는 Google Play 외부에서 APK 파일을 다운로드하지 말고, 관련 없는 애플리케이션에 대한 액세스 권한을 부여하지 말고, 기기에서 Play Protect가 활성화되어 있는지 확인해야 합니다.