피싱 공격자들은 새로운 기술을 사용해 iOS 및 Android 사용자를 속여 Apple과 Google이 모두 구축한 안전 가드레일을 우회하는 악성 앱을 설치하도록 합니다.
두 모바일 운영 체제 모두 사용자가 개인 정보, 비밀번호 또는 기타 민감한 데이터를 훔치는 앱을 피할 수 있도록 설계된 메커니즘을 사용합니다. iOS는 App Store에서 제공되는 앱 외의 모든 앱 설치를 차단하는데, 이 접근 방식은 널리 Walled Garden으로 알려져 있습니다. 반면 Android는 기본적으로 Google Play에서 제공되는 앱만 허용하도록 설정되어 있습니다. 사이드로딩(다른 마켓에서 앱을 설치하는 것)은 수동으로 허용해야 하며, Google은 이에 대해 경고합니다.
네이티브 앱이 아닌 경우
지난 9개월 동안 유포된 피싱 캠페인은 이러한 보호 기능을 우회하기 위해 이전에는 볼 수 없었던 방법을 사용하고 있습니다. 목표는 타겟을 속여 타겟 은행의 공식 앱으로 위장한 악성 앱을 설치하도록 하는 것입니다. 악성 앱이 설치되면 계정 자격 증명을 훔쳐 Telegram을 통해 실시간으로 공격자에게 전송합니다.
보안 회사 ESET의 분석가인 야쿠브 오스마니는 화요일에 “이 기술은 사용자가 타사 앱 설치를 허용하지 않고도 타사 웹사이트에서 피싱 애플리케이션을 설치하기 때문에 주목할 만합니다.”라고 적었습니다. “iOS 사용자의 경우 이러한 조치는 보안에 대한 ‘walled garden’ 가정을 깨뜨릴 수 있습니다. Android에서는 특별한 종류의 APK가 자동으로 설치될 수 있으며, 자세히 살펴보면 Google Play 스토어에서 설치된 것처럼 보입니다.”
이 새로운 방법은 타겟이 Progressive Web App이라고 알려진 특별한 유형의 앱을 설치하도록 유도하는 것을 포함합니다. 이러한 앱은 네이티브 앱의 느낌과 동작을 가진 기능을 렌더링하기 위해 웹 표준에만 의존하며, 이와 함께 제공되는 제한은 없습니다. 웹 표준에 대한 의존성은 PWA가 표준을 준수하는 브라우저를 실행하는 모든 플랫폼에서 이론적으로 작동하여 iOS와 Android에서 동일하게 잘 작동한다는 것을 의미합니다. 설치가 완료되면 사용자는 PWA를 홈 화면에 추가하여 네이티브 앱과 놀라울 정도로 유사합니다.
PWA는 iOS와 Android 모두에 적용할 수 있는 반면, Osmani의 게시물에서는 PWA를 사용하여 iOS 앱에 적용하고 WebAPK를 사용하여 Android 앱에 적용합니다.
크게 하다 / 피싱 PWA(왼쪽)와 실제 뱅킹 앱(오른쪽)을 설치했습니다.
에셋
크게 하다 / 설치된 피싱 WebAPK(왼쪽)와 실제 뱅킹 앱(오른쪽)을 비교한 모습.
에셋
공격은 문자 메시지, 자동 전화 또는 Facebook이나 Instagram의 악성 광고를 통해 전송된 메시지로 시작됩니다. 타겟이 사기 메시지의 링크를 클릭하면 App Store나 Google Play와 비슷한 페이지가 열립니다.
이러한 캠페인에 사용된 악성 광고의 예입니다.
에셋
Google Play를 모방한 피싱 랜딩 페이지.
에셋
ESET의 Osmani는 다음과 같이 이어갔습니다.
여기에서 피해자는 뱅킹 애플리케이션의 “새로운 버전”을 설치하라는 요청을 받습니다. 이에 대한 예는 그림 2에서 볼 수 있습니다. 캠페인에 따라 설치/업데이트 버튼을 클릭하면 웹사이트에서 악성 애플리케이션이 피해자의 휴대전화에 직접 설치됩니다. 이는 WebAPK(Android 사용자만 해당) 또는 iOS 및 Android 사용자의 경우 PWA(캠페인이 WebAPK 기반이 아닌 경우) 형태로 설치됩니다. 이 중요한 설치 단계는 “알 수 없는 앱 설치”에 대한 기존 브라우저 경고를 우회합니다. 이는 공격자가 남용하는 Chrome WebAPK 기술의 기본 동작입니다.
모방 설치 페이지의 예입니다.
에셋
iOS 사용자의 경우 프로세스가 약간 다릅니다. 애니메이션 팝업이 피해자에게 피싱 PWA를 홈 화면에 추가하는 방법을 알려줍니다(그림 3 참조). 팝업은 기본 iOS 프롬프트의 모양을 복사합니다. 결국 iOS 사용자조차도 휴대전화에 잠재적으로 유해한 앱을 추가하는 것에 대해 경고를 받지 못합니다.
그림 3 “설치”를 클릭한 후의 iOS 팝업 지침(출처: Michal Bláha)
에셋
설치 후 피해자는 새로운 모바일 뱅킹 앱을 통해 계좌에 액세스하기 위해 인터넷 뱅킹 자격 증명을 제출하라는 메시지를 받습니다. 제출된 모든 정보는 공격자의 C&C 서버로 전송됩니다.
이 기술은 WebAPK와 관련된 애플리케이션 정보에 해당 애플리케이션이 Google Play에서 설치되었으며 시스템 권한이 지정되지 않았음이 표시되기 때문에 더욱 효과적입니다.
WebAPK 정보 메뉴—상단에 “권한 없음”과 하단의 “스토어에 있는 앱 세부 정보” 섹션을 확인하세요.
에셋
지금까지 ESET은 이 기술이 주로 체코의 은행 고객을 상대로 사용되고 있으며 헝가리와 조지아에서는 그렇지 않다는 것을 알고 있습니다. 이 공격은 두 가지 별개의 명령 및 제어 인프라를 사용했는데, 이는 두 개의 다른 위협 그룹이 이 기술을 사용하고 있다는 것을 나타냅니다.
오스마니는 “설치 후 합법적인 앱과 피싱 앱을 구분하기 어렵기 때문에 더 많은 모방 앱이 만들어지고 배포될 것으로 예상합니다.”라고 말했습니다.
