가짜 구글 보안 페이지를 이용해 안드로이드 스마트폰 사용자의 개인정보를 빼내는 신종 피싱 공격이 발견됐다.
IT 전문 매체 테크레이더는 3일(현지시간) 보안업체 멀웨어바이트의 연구 결과를 인용해 프로그레시브 웹앱(PWA)을 악용한 해킹 캠페인이 유포되고 있다고 보도했다.
공격자는 피싱 이메일로 피해자를 가짜 구글 사이트로 유인한 뒤, 보안 강화 절차로 위장한 4단계 검증을 거치게 해 악성 웹앱 설치를 유도했다. 프로그레시브 웹앱은 웹 브라우저를 기반으로 작동하지만 일반 애플리케이션처럼 기기에 설치해 사용할 수 있는 기술이다.
설치된 악성 앱은 클립보드 내용과 가상화폐 지갑 주소 등을 수집했다. 일회성 비밀번호(OTP), 연락처, 위치 정보 등도 주요 탈취 대상에 포함됐다.
해당 앱은 실행 중일 때만 정보를 수집할 수 있다. 이를 극복하기 위해 공격자는 피해자가 앱을 자주 열어보도록 지속해서 푸시 알림을 보냈다. 또한 웹소켓 기반 중계망을 구축해 웹 요청을 우회하고 내부 네트워크를 스캔하는 기능도 갖춘 것으로 확인됐다.
보안 업데이트로 위장해 추가 앱 다운로드를 유도하는 사례도 확인됐다. 이 동반 앱은 기기 관리자 권한을 요구하며 문자메시지 가로채기, 키보드 입력 정보 수집 등 심각한 피해를 유발했다.
멀웨어바이트는 기기에 설치된 앱 목록에서 보안 검사 관련 항목을 찾아 삭제할 것을 권고했다. '시스템 서비스'라는 이름의 앱이 관리자 권한을 가진 경우, 설정에서 권한을 먼저 해제한 뒤 삭제해야 한다고 덧붙였다.