Android 휴대폰에서 OTP 코드가 도난당할 위험이 있는 사용자

보안 회사 Zimperium의 보고서에 따르면, 이 캠페인은 2022년 2월부터 탐지 및 모니터링되어 왔습니다. 현재까지 최소 107,000개의 관련 맬웨어 샘플이 식별되었습니다.

이 맬웨어는 주로 안드로이드 기기를 표적으로 삼아 OTP 코드를 훔치는 것을 목표로 합니다. OTP 코드란 일반적으로 로그인이나 온라인 거래 시 2단계 인증에 사용되는 일회용 비밀번호의 일종입니다.

이 캠페인은 2,600개가 넘는 텔레그램 봇을 사용하여 13개의 명령 및 제어(C&C) 서버로 제어되는 악성코드를 유포했습니다. 이 캠페인의 피해자는 113개국에 걸쳐 있었지만, 인도, 러시아, 브라질, 멕시코, 미국에 가장 집중되어 있었습니다.

이 악성코드는 크게 두 가지 방식으로 유포됩니다. 피해자는 Google Play와 유사한 가짜 웹사이트를 방문하도록 속일 수 있습니다. 또는 Telegram 봇을 통해 불법 복제 APK 앱을 다운로드하도록 속일 수도 있습니다. 앱을 다운로드하려면 사용자가 전화번호를 제공해야 하며, 악성코드는 이 전화번호를 사용하여 새로운 APK 파일을 생성하고, 이를 통해 공격자는 이를 추적하거나 추가 공격을 실행할 수 있습니다.

사용자가 자신도 모르게 악성 앱에 SMS 접근 권한을 부여하면, 악성 앱은 휴대폰으로 전송된 OTP 코드를 포함한 SMS 메시지를 읽을 수 있게 됩니다. 이는 공격자가 민감한 정보를 훔칠 수 있을 뿐만 아니라, 피해자를 계정 도용 및 금융 사기의 위험에 빠뜨립니다.

OTP 코드가 도난당하면 공격자는 피해자의 은행 계좌, 전자 지갑 또는 기타 온라인 서비스에 쉽게 접근하여 심각한 재정적 손실을 초래할 수 있습니다. 뿐만 아니라, 일부 피해자는 자신도 모르는 사이에 불법 행위에 연루될 수도 있습니다.

Zimperium은 또한 해당 악성코드가 해외 가상 전화번호 접속을 판매하는 웹사이트인 'fastsms.su'의 API 엔드포인트로 훔친 SMS 메시지를 전송했다는 사실을 발견했습니다. 이 전화번호는 온라인 거래를 익명화하는 데 사용될 수 있어 추적을 더욱 어렵게 만듭니다.

공격 위험으로부터 자신을 보호하기 위해 Android 사용자는 다음 사항을 준수하는 것이 좋습니다.

Google Play 외부의 소스에서 APK 파일을 다운로드하지 마세요. 이러한 파일에는 사용자 정보를 쉽게 훔칠 수 있는 악성 코드가 포함되어 있을 수 있습니다.

알 수 없는 앱에 SMS 액세스 권한을 부여하지 마세요. 이렇게 하면 악성 소프트웨어가 OTP 코드가 포함된 메시지를 읽을 수 있는 위험이 줄어듭니다.

Play Protect 활성화: 이는 기기에서 악성 앱을 검사하고 감지하는 Google Play 보안 기능입니다.