전 세계 113개국 안드로이드 기기를 표적으로 한 사이버 공격 실태가 밝혀졌다. 이 사이버 공격에서는 텔레그램 봇을 이용해 안드로이드 기기를 멀웨어에 감염시키고 사용자가 온라인 계정에서 사용하는 일회용 비밀번호를 탈취하는 것으로 나타났다.
보안 소프트웨어를 개발하는 짐페리움(Zimperium) 연구자가 안드로이드 기기에 감염되어 일회용 비밀번호를 탈취하는 사이버 공격을 탐지하고 2022년 2월경부터 추적해왔다. 짐페리움 연구팀은 지금까지 이 사이버 공격에 이용된 멀웨어 샘플을 최소 10만 7,000건 발견했다.
공격자는 안드로이드 공식 앱 스토어인 구글플레이를 모방한 마버타이징(mavertizing)이나 텔레그램 봇을 이용해 멀웨어를 배포하고 있다.
마버타이징을 통한 경우 안드로이드 사용자는 광고를 통해 가짜 구글플레이 페이지로 유도되어 앱으로 가장한 멀웨어를 설치하게 된다. 텔레그램 봇의 경우 봇이 사용자를 대상으로 안드로이드용 해적판 앱을 제공한다고 약속하며 APK 파일을 공유하기 위해 전화번호를 요구한다. 이렇게 얻은 전화번호를 이용해 텔레그램 봇은 전화번호 사용자를 추적하거나 공격할 수 있도록 APK 파일을 조정한 뒤 타깃에게 멀웨어를 배포한다.
멀웨어에 감염된 안드로이드 기기가 SMS 메시지를 수신하면 멀웨어는 사용자에게 SMS 접근 권한을 요청한다. 이를 허용하면 공격자가 사용하는 13개 명령 및 제어 서버 중 하나에 연결되어 수신된 메시지가 서버로 전송된다. 짐페리움에 따르면 공격자는 2,600개 텔레그램 봇을 이용해 멀웨어를 배포하고 있다고 한다.
피해자가 많은 국가는 인도(23.8%), 러시아(17.5%), 브라질(5.8%), 멕시코(4.6%), 미국(4.0%), 우크라이나(3.8%), 스페인(3.4%), 터키(2.5%) 순으로 나타났다.
짐페리운 연구팀은 멀웨어가 피해자 기기에서 수신한 SMS 메시지를 웹사이트(fastsms.su) 특정 API 엔드포인트로 전송하고 있다는 걸 밝혀냈다. 이 웹사이트는 해외 가상 전화번호에 대한 접근 권한을 구매하고 이를 익명화하거나 온라인 플랫폼 인증에 사용하는 서비스를 제공한다.
짐페리움 측은 멀웨어에 감염된 기기는 피해자가 눈치 채지 못하는 사이에 fastsms.su에서 사용될 가능성이 높다고 지적했다. 이를 위해 멀웨어는 안드로이드 기기 SMS 접근 권한을 획득한 뒤 온라인 계정 인증에 사용되는 일회용 비밀번호를 가로챈다. 또 멀웨어가 탈취한 일회용 비밀번호는 600개 이상 글로벌 브랜드에서 사용되고 있으며 그 중에는 사용자 수억 명을 가진 유명 서비스도 포함되어 있었다고 한다.
멀웨어에 감염된 안드로이드 기기 사용자는 부당한 청구를 받을 가능성이 있을 뿐 아니라 전화번호가 불법 행위에 사용되었다는 의심을 받을 가능성도 있다.
이런 공격을 피하기 위한 방법으로 구글플레이 외부에서 APK 파일을 다운로드하지 말 것과 관계없는 기능을 가진 앱에 위험한 권한을 부여하지 말 것을 권고하고 있다. 관련 내용은 이곳에서 확인할 수 있다.