안드로이드 기기에서 OTP 코드를 훔치는 속임수에 대한 경고

보안 회사 Zimperium의 연구원들은 이 악성 캠페인을 발견해 2022년 2월부터 모니터링해 왔습니다. 그들은 이 캠페인과 관련하여 최소 107,000개의 다양한 맬웨어 샘플을 감지했다고 보고했습니다.

맬웨어는 600개 이상의 글로벌 브랜드에서 OTP 코드가 포함된 메시지를 추적하며, 그중 일부는 수억 명의 사용자를 보유하고 있습니다. 해커들의 동기는 금전적입니다.

Telegram Bot이 APK 파일을 보내기 위해 사용자에게 전화번호를 제공하도록 요청합니다.

Zimperium에 따르면, SMS 스틸러 맬웨어는 악성 광고나 Telegram 봇을 통해 배포되어 자동으로 피해자와 통신합니다. 해커가 공격하는 데 사용하는 시나리오는 두 가지가 있습니다.

구체적으로, 첫 번째 경우, 피해자는 가짜 Google Play 페이지에 접속하도록 속게 됩니다. 다른 경우, 텔레그램 봇은 사용자에게 불법 복제된 안드로이드 앱을 제공하겠다고 약속하지만, 먼저 APK 파일을 받으려면 전화번호를 제공해야 합니다. 봇은 해당 전화번호를 사용해 새로운 APK 파일을 생성하고, 이를 통해 해커는 나중에 피해자를 추적하거나 공격할 수 있습니다.

Zimperium은 악성 캠페인에서 2,600개의 Telegram 봇을 사용해 13개의 명령 및 제어 서버에서 제어하는 ​​다양한 Android APK를 홍보했다고 밝혔습니다. 피해자는 113개국에 퍼져 있었지만 대부분은 인도와 러시아 출신이었습니다. 미국, 브라질, 멕시코에서도 피해자 수가 상당히 많습니다. 이러한 수치는 이 캠페인의 배후에 대규모의 고도로 정교한 작전이 진행 중이라는 걱정스러운 모습을 보여줍니다.

전문가들은 이 맬웨어가 캡처한 SMS 메시지를 'fastsms.su' 웹사이트의 API 엔드포인트로 전송한다는 사실을 발견했습니다. 이 웹사이트는 해외 가상 전화번호에 대한 액세스를 판매합니다. 이는 온라인 플랫폼 및 서비스를 익명화하고 인증하는 데 사용할 수 있습니다. 감염된 장치가 피해자의 모르게 악용되었을 가능성이 높습니다.

또한, 피해자는 SMS에 대한 액세스 권한을 부여함으로써 맬웨어가 SMS 메시지를 읽고 계정 등록 및 2단계 인증 시 OTP 코드를 포함한 민감한 정보를 훔칠 수 있도록 합니다. 그 결과, 피해자는 전화 요금이 엄청나게 치솟는 것을 보거나 자신도 모르게 불법 행위에 연루되어 자신의 기기와 전화 번호를 추적하게 될 수 있습니다.

나쁜 놈들의 함정에 빠지지 않으려면 Android 사용자는 Google Play 외부에서 APK 파일을 다운로드하지 말고, 관련 없는 애플리케이션에 액세스 권한을 부여하지 말고, 기기에서 Play Protect가 활성화되어 있는지 확인해야 합니다.