조심하세요! 새로운 피싱 기법이 정교한 웹 애플리케이션을 통해 모바일 뱅킹 사용자를 표적으로 삼습니다.

새롭고 우려스러운 피싱 기법이 등장하여 iOS와 Android 플랫폼 모두에서 모바일 뱅킹 사용자에게 심각한 위협을 가하고 있습니다. 맬웨어 방지 공급업체 ESET의 최근 경고에 따르면 사이버 범죄자들은 보안 조치를 우회하고 민감한 뱅킹 자격 증명을 훔치기 위해 Progressive Web Applications(PWA)와 WebAPK를 활용하고 있습니다.

공격 작동 방식

이 새로운 피싱 캠페인은 네이티브 앱처럼 보이고 기능하도록 설계된 웹 애플리케이션인 PWA의 유연성을 활용합니다. PWA는 사용자가 타사 앱 설치를 활성화할 필요가 없으므로 덜 의심스럽게 보입니다. 사이버 범죄자들은 iOS 사용자에게 이러한 PWA를 홈 화면에 추가하도록 지시하는 반면 Android 사용자는 브라우저에서 사용자 지정 팝업을 확인하도록 요청하여 이러한 사기성 애플리케이션이 설치되도록 합니다.

Android 사용자의 경우, 위협은 WebAPK를 사용하면서 커집니다. 이는 본질적으로 합법적인 앱의 모양과 동작을 모방하는 업그레이드된 PWA로, 종종 사용자가 Google Play에서 다운로드했다고 믿게 만듭니다. ESET의 연구에 따르면 이러한 WebAPK는 사용자가 알 수 없는 출처의 앱 설치를 허용하지 않았더라도 일반적인 보안 경고를 트리거하지 않습니다. 이러한 악성 애플리케이션은 설치되면 사용자의 기기에 완벽하게 섞여서 공식 뱅킹 앱임을 암시하는 아이콘과 정보를 표시합니다.

배포 방법

이러한 피싱 애플리케이션의 배포는 자동 음성 통화, 소셜 미디어 멀버타이징, SMS 메시지를 조합하여 조직됩니다. 사용자는 공식 앱 스토어나 대상 은행 웹사이트와 유사한 가짜 웹사이트로 연결되는 링크를 클릭하도록 유도됩니다. 그런 다음 모바일 뱅킹 앱에 대한 업데이트인 것처럼 보이는 것을 설치하라는 메시지가 표시됩니다.

설치 시, 이러한 앱은 사용자의 은행 계좌에 액세스한다는 명목으로 사용자의 로그인 자격 증명을 요청합니다. 사용자는 모르게 이 민감한 정보가 즉시 공격자의 명령 및 제어(C&C) 서버로 전송됩니다.

위협 환경

ESET의 조사에 따르면 이 피싱 캠페인은 2023년 11월에 시작되었을 가능성이 높으며, C&C 서버는 2024년 3월에 활성화되었습니다. 주로 체코 공화국의 모바일 뱅킹 사용자를 표적으로 삼았지만, 헝가리와 조지아의 개인도 공격 대상으로 삼았습니다. ESET은 이러한 공격의 배후에 있는 두 개의 별도의 위협 주체를 식별했으며, 각각 사용자를 침해하기 위해 유사한 기술을 사용합니다.

게다가, 이러한 공격자들이 더 많은 모방 애플리케이션을 개발하여 무기고를 확장할 것이라는 우려가 커지고 있습니다. 이러한 PWA와 WebAPK의 정교함은 합법적인 뱅킹 앱과 거의 구별할 수 없기 때문에 특히 위험합니다.

위협으로부터 자신을 보호하세요

이러한 고급 피싱 기술의 증가로 인해 사용자가 경계하는 것이 그 어느 때보다 중요해졌습니다. 자신을 보호하기 위해 취할 수 있는 몇 가지 단계는 다음과 같습니다.

1. 앱 설치에 주의하세요 : 공식 앱 스토어에서 직접 제공되지 않는 앱은 설치하지 마세요. 링크를 통해 앱이나 업데이트를 설치하라는 메시지가 표시되면 먼저 합법성을 확인하세요.
2. 비정상적인 요청에 주의하세요 . 로그인 인증 정보나 은행 계좌 정보와 같은 민감한 정보를 요청하는 앱에 주의하세요. 특히 업데이트를 요청하는 경우 더욱 그렇습니다.
3. 최신 정보를 받으세요 : 최신 보안 뉴스를 계속 확인하고 장치의 보안 소프트웨어가 업데이트되어 이러한 종류의 위협을 탐지하고 차단하도록 하세요.

이 새로운 피싱 기술은 사이버 범죄자들의 진화하는 전술과 사용자들 사이에서 높아진 인식의 필요성을 강조합니다. 합법적인 애플리케이션과 사기성 애플리케이션 간의 경계가 계속 모호해짐에 따라, 정보를 얻고 주의하는 것이 최선의 방어책입니다.