안드로이드 SMS 도용 캠페인, 113개국에서 발견

미국에 본사를 둔 모바일 보안 회사 Zimperium의 연구자들이 113개국에서 안드로이드 기기를 대상으로 한 대규모 SMS 도용 캠페인을 발견했습니다.

Zimperium이 2022년 2월부터 추적해온 이 대규모 캠페인은 사용자의 SMS 메시지를 도용하기 위해 악성 안드로이드 앱을 사용하는 107,000개 이상의 고유한 악성코드 샘플을 식별했습니다.

이 악성코드 캠페인 뒤에 있는 위협 행위자들은 악성 광고 링크와 텔레그램 봇을 사용하여 잠재적 피해자와의 통신을 자동화했습니다.

악성 광고의 경우, 피해자들은 Google Play 스토어를 모방한 가짜 웹 페이지로 유인되어, 잘못된 신뢰와 안전감을 주기 위해 부풀려진 다운로드 수치를 표시합니다.

반면, 텔레그램에서는 봇이 합법적인 서비스인 척하며 피해자들을 속여 합법적인 APK(안드로이드 애플리케이션 패키지)로 위장한 독특한 악성 애플리케이션을 다운로드하도록 유도했습니다.

예를 들어, 봇은 사용자에게 불법 복제된 APK 파일을 제공하겠다고 약속하며, 사용자의 전화번호를 공유하도록 요청합니다. 이를 통해 공격자는 개인화된 추적이나 향후 공격을 위한 새로운 APK를 생성할 수 있습니다.

“피해자가 공격자의 손아귀에 firmly 잡히면, 공격자는 이제 사용자의 민감한 정보를 도용하고 판매하여 금전적 이익을 얻을 수 있는 능력을 갖게 됩니다.”라고 Zimperium은 블로그 게시물에서 작성했습니다.

Zimperium에 따르면, 약 2,600개의 텔레그램 봇으로 구성된 방대한 네트워크가 이 캠페인과 연결되어 있으며, 다양한 안드로이드 APK를 홍보했습니다. 또한, 이 악성코드는 피해자 기기에서 SMS 메시지를 도용하고 유출하기 위해 13개의 명령 및 제어(C&C) 서버를 사용했습니다.

“107,000개의 악성코드 샘플 중 99,000개 이상의 애플리케이션은 일반적으로 사용 가능한 저장소에서 알려지지 않았거나 사용할 수 없었습니다. 이 악성코드는 600개 이상의 글로벌 브랜드에서 일회성 비밀번호 메시지를 모니터링하고 있으며, 일부 브랜드는 수억 명의 사용자 수를 보유하고 있습니다.”라고 모바일 보안 회사는 덧붙였습니다.

이 캠페인의 피해자는 113개국에 걸쳐 있으며, 러시아와 인도가 주요 타겟이었고, 그 뒤를 브라질, 멕시코, 미국, 우크라이나, 스페인, 터키가 따랐습니다.

조사 중 Zimperium은 악성코드가 감염된 장치에서 특정 API 엔드포인트인 ‘fastsms[.]su’ 도메인으로 SMS 메시지를 전송한다는 사실을 발견했습니다. Fast SMS(‘fastsms[.]su’)는 사용자가 다양한 온라인 앱 및 서비스에서 익명화 및 인증 목적으로 외국의 “가상” 전화번호에 대한 접근을 구매할 수 있는 웹사이트입니다.

연구자들은 감염된 장치와 연결된 전화번호가 피해자의 동의 없이 다양한 온라인 계정에 대해 제공되는 서비스에 의해 사용되고 있다고 느끼고 있으며, 요청된 안드로이드 SMS 접근 권한이 악성코드가 계정 등록 및 이중 인증(2FA)에 필요한 일회성 비밀번호(OTP)를 가로챌 수 있게 합니다.

피해자는 모바일 계정에서 무단 요금이 발생할 수 있으며, 자신의 장치와 전화번호와 관련된 불법 활동에 연루될 수 있습니다.

“이 모바일 악성코드의 확산과 데이터 도용의 용이성(예: SMS, OTP)은 개인과 조직 모두에게 중대한 위협을 초래합니다. 이 도용된 자격 증명은 피싱 캠페인이나 사회 공학 공격을 시작하기 위해 인기 있는 서비스에서 가짜 계정을 생성하는 등의 추가 사기 활동을 위한 발판 역할을 합니다.”라고 Zimperium은 결론지었습니다.

전화번호 오용을 피하기 위해 사용자는 Google Play 스토어 외부에서 APK 다운로드를 피하고, 관련 없는 기능에 대해 과도한 앱 권한을 거부하며, 자신의 장치에서 Play Protect가 활성화되어 있는지 확인할 것을 권장합니다.