보안 회사 Zimperium의 보고서에 따르면, 이 캠페인은 2022년 2월부터 감지 및 모니터링되었습니다. 지금까지 최소 107,000개의 관련 맬웨어 샘플이 식별되었습니다.

이 맬웨어는 주로 안드로이드 기기를 대상으로 OTP 코드를 훔치는 것을 목표로 합니다. OTP 코드는 일회용 비밀번호의 일종으로, 로그인이나 온라인 거래 시 2단계 인증에 일반적으로 사용됩니다.

이 공격 캠페인에서는 13개의 명령 및 제어(C&C) 서버로 제어되는 맬웨어를 퍼뜨리기 위해 2,600개가 넘는 텔레그램 봇이 사용되었습니다. 이 캠페인의 피해자는 113개국에 걸쳐 있지만, 인도, 러시아, 브라질, 멕시코, 미국에 가장 많이 집중되어 있습니다.

악성코드는 두 가지 주요 방법으로 배포됩니다. 피해자는 Google Play로 위장된 가짜 웹사이트를 방문하도록 속을 수 있습니다. 또는 피해자는 Telegram 봇을 통해 불법 복제 APK 앱을 다운로드하도록 유혹될 수도 있습니다. 앱을 다운로드하려면 사용자가 전화번호를 제공해야 하는데, 이 전화번호는 맬웨어가 새로운 APK 파일을 생성하는 데 사용되며, 공격자는 이를 추적하거나 추가 공격을 수행할 수 있습니다.

사용자가 실수로 악성 애플리케이션에 SMS 액세스 권한을 부여하는 경우 맬웨어는 휴대폰으로 전송된 OTP 코드를 포함한 SMS 메시지를 읽을 수 있습니다. 이로 인해 공격자는 민감한 정보를 더 쉽게 훔칠 수 있을 뿐만 아니라, 피해자는 계정 남용 및 심지어 금융 사기의 위험에 노출됩니다.

OTP 코드가 도난당하면 공격자는 피해자의 은행 계좌, 전자 지갑 또는 기타 온라인 서비스에 쉽게 접근하여 심각한 재정적 결과를 초래할 수 있습니다. 그뿐만 아니라, 일부 피해자는 자신도 모르는 사이에 불법 행위에 연루될 수도 있습니다.

Zimperium은 또한 해당 맬웨어가 훔친 SMS 메시지를 해외에서 가상 전화번호에 대한 액세스를 판매하는 웹사이트인 'fastsms.su'의 API 엔드포인트로 전송한다는 사실을 발견했습니다. 이러한 전화번호는 온라인 거래를 익명화하는 데 사용될 수 있으므로 추적이 어렵습니다.

공격 위험으로부터 자신을 보호하려면 Android 사용자에게 다음 사항을 권고합니다.

Google Play 외부의 소스에서 APK 파일을 다운로드하지 마세요. 이러한 파일에는 사용자 정보를 쉽게 훔칠 수 있는 악성 코드가 포함되어 있을 수 있습니다.

알 수 없는 앱에 SMS 액세스 권한을 부여하지 마세요. 이렇게 하면 맬웨어가 OTP 코드가 포함된 메시지를 읽을 수 있는 위험이 줄어듭니다.

Play Protect 활성화: 이는 기기에서 악성 앱을 검사하고 감지하는 Google Play 보안 기능입니다.