베트남 사용자 중 일부는 가짜 소프트웨어를 설치해 수십억 동에 달하는 손실을 입었습니다.

VietNamNet의 보도에 따르면, 정보통신부 산하 정보보안부 대표는 7월 5일, 지난주 베트남 사이버공간에서 사람들을 속여 정부와 세무국의 가짜 앱을 설치하도록 하는 캠페인이 퍼지고 있다고 밝혔습니다.

정보보안부 전문가의 분석에 따르면, 앞서 언급한 사기성 ".apk" 맬웨어 앱이 세무국과 정부 앱을 사칭하는 캠페인에서 이 그룹은 약 195개의 서로 다른 시스템을 사용해 사람들을 사기쳤습니다.

7월 7일 저녁, NCS 회사의 기술 이사인 부 응옥 손(Vu Ngoc Son) 전문가는 가짜 소프트웨어를 다운로드하고 설치하여 은행 계좌가 해킹되는 사례가 증가했다는 새로운 정보를 업데이트하는 한편, 맬웨어를 이용해 해커가 원격으로 피해자의 휴대전화에서 송금 명령을 제어하고 실행할 수 있는 방법에 대해서도 설명했습니다.

구체적으로, 전문가 Vu Ngoc Son의 설명에 따르면 일반적으로 휴대폰의 각 애플리케이션은 실행을 위해 운영 체제에 의해 "샌드박스"에서 생성됩니다. 이렇게 하면 이 애플리케이션이 데이터를 읽거나 다른 애플리케이션의 작동을 방해하는 것을 방지할 수 있습니다. 이처럼 높은 보안성을 갖춘 설계 덕분에 휴대폰이 맬웨어에 감염되더라도 맬웨어가 기기의 애플리케이션에서 데이터를 훔칠 수 없습니다.

하지만 시각 장애인이나 이동이 불편한 사람들이 스마트폰을 사용할 수 있도록 돕기 위해 고안된 안드로이드의 접근성 서비스라는 구글 디자인이 해커들에게 악용되었습니다. 해커는 접근성 서비스를 이용해 악성 코드를 프로그래밍하여 콘텐츠를 읽고 다른 애플리케이션과 상호작용하도록 합니다. 이로 인해 Google의 "샌드박스" 보안 설계가 깨졌습니다.

Google은 Google Play에서 이 권한을 사용하는 거의 모든 애플리케이션을 제거하여 접근성 서비스의 위험성을 곧 깨달았지만 해커는 다시 한 번 허점을 찾아냈습니다. 즉, Google의 모든 검열 조치가 간섭할 수 없는 비공식적인 마켓에 소프트웨어를 배포하는 것입니다.

"이것은 최근 베트남에서 발생한 은행 계좌에서 돈을 훔친 악성 코드가 Google Play에 없고 .apk 파일의 직접 다운로드 링크에 게시된 이유이기도 합니다. 이런 식으로 사기꾼은 사용자를 속여 가짜 애플리케이션에 접근성 권한을 부여하게 됩니다. 전문가 Vu Ngoc Son은 "허가를 받으면 가짜 애플리케이션은 스파이처럼 숨어서 정보를 수집하고, 심지어 은행 애플리케이션을 통제하고, 계좌와 비밀번호를 입력한 다음 OTP 코드를 입력해 돈을 이체할 수도 있다"고 분석했습니다.

가짜 정부 및 세무부 앱에 설치된 맬웨어의 작동 메커니즘을 "디코딩"한 결과에 따르면, 이 기간 동안 사용자는 소프트웨어, 특히 안드로이드 소프트웨어 설치 요청에 주의해야 한다고 전문가 Vu Ngoc Son은 권고했습니다. 특히, 접근성 권한을 절대로 부여하지 마세요. 은행, 세무 또는 기타 기관용 응용프로그램에는 사용자의 이러한 권한이 필요하지 않습니다.

악성 코드가 포함된 가짜 앱을 설치하도록 속여 사용자의 자산을 횡령하는 사기 형태에 대해 더 자세히 공유하면서 NCS 회사의 전문가들은 이것이 새로운 형태의 공격은 아니며 해커는 종종 기관이나 조직을 사칭하여 사용자를 속여 휴대폰에 가짜 앱을 설치하도록 한다고 평가했습니다.

또한, 현재 가짜 애플리케이션은 안드로이드 운영 체제에서만 작동하며, 소프트웨어 다운로드 링크는 CHPlay 애플리케이션 마켓 외부에 있습니다. 현재 iPhone은 Apple Store 외부의 소스에서 앱을 설치하는 것을 허용하지 않으므로 이러한 유형의 공격에 취약하지 않습니다.

이런 사기를 피하기 위해 전문가들은 사용자가 몇 가지 원칙에 주의해야 한다고 권고합니다. Android 휴대폰의 경우, CHPlay에 직접 가서 해당 소프트웨어를 찾아서 애플리케이션을 설치하세요. 마찬가지로 iPhone의 경우 사용자는 Apple Store에서만 앱을 설치할 수 있습니다.

또한, 사용자는 문자 메시지를 통해 받은 링크를 클릭해서는 안 됩니다. 의심스러운 경우, 사용자는 공식적으로 게시된 전화번호를 통해 관련 기관 및 조직에서 다시 인증해야 합니다.

(출처: Vietnamnet)