최근 몇 달간, 사이버 보안 연구원들은 유럽 전역의 은행 사용자들을 대상으로 한 피싱 캠페인에서 진보된 웹 애플리케이션(PWA)을 활용한 공격이 급증하고 있음을 확인했다. 이 공격은 2023년 7월 폴란드에서 처음 발견되었으며, 이후 체코, 헝가리, 조지아 등 여러 국가로 확산되었다.

이 공격은 PWA를 사용해 은행 앱을 모방해 이루어진다. PWA는 웹사이트이지만 독립적인 앱처럼 작동하여, 안드로이드와 iOS 기기 모두에서 설치할 수 있다. 기존의 모바일 앱과 달리, PWA는 웹 브라우저에서 직접 설치할 수 있어, 보안 경고나 권한 요청 없이도 설치될 수 있다.

사용자가 악성 PWA를 설치하면, 해당 앱은 로고나 사용자 인터페이스까지 진짜 은행 앱을 완벽하게 모방한다. 특히 안드로이드 기기에서는 이 피싱 앱이 WebAPK 형태로 나타나며, 이는 크롬 브라우저에서 생성된 네이티브 앱과 구별하기 어려워 공격의 위험성을 더욱 높인다.

이 악성 PWA의 배포 방법은 다양하다. 이셋(ESET) 보고서에 따르면, 공격자들은 자동 음성 통화, 스미싱(SMS 피싱), 페이스북과 같은 소셜 미디어의 악성 광고를 통해 사용자를 유인하고 있다. 이러한 메시지는 보통 사용자의 은행 앱이 오래되었으므로 긴급히 업데이트해야 한다고 경고하며, 사용자를 가짜 앱 스토어나 위장된 웹사이트로 유도한다.

예를 들어, 헝가리와 조지아의 사용자들을 대상으로 한 캠페인에서는 이러한 다양한 방법들이 결합되어 피해자를 속였다. 체코의 은행 사용자들은 가짜 구글 플레이 스토어 페이지로 유도되어 악성 앱을 설치하게 되었다.

이러한 PWA가 설치된 후 사용자는 은행 자격 증명을 입력하라는 메시지를 받게 되며, 이 정보는 공격자의 서버로 전송된다. 일부 공격 그룹은 텔레그램 봇을 사용해 탈취한 데이터를 관리하고, 다른 그룹은 전통적인 명령 및 제어(C2) 인프라를 통해 데이터를 수집한다.

이 PWA 기반 피싱 캠페인은 기존의 보안 조치를 우회할 수 있고, 진짜 앱과 구별하기 어려워 그 위험성이 매우 크다. ESET 등 사이버 보안 기업들은 이러한 위협이 더욱 확산될 가능성이 크다고 경고하고 있다.

사이버 보안 커뮤니티는 이러한 위협을 적극적으로 모니터링하고 대응하고 있고 또 이셋도 이러한 캠페인을 지원하는 인프라를 해체하기 위해 노력하고 있으며, 피싱 도메인과 C2 서버를 차단하고 있다. 그러나 공격자들은 새로운 도메인과 방법을 계속 개발하고 있어 이와 같은 위협은 쉽게 사라지지 않을 전망이다.

보안 전문가들은 사용자가 SMS나 소셜 미디어를 통해 전송된 링크로부터 앱을 설치할 때 주의할 것을 권고하며, 공식 앱 스토어에서만 앱을 다운로드하고, 업데이트 요청의 진위를 반드시 확인할 것을 당부하고 있다.

[PASCON 2024] 하반기 최대 사이버보안 컨퍼런스 초대!(보안담당자 7시간 보안교육이수)

▶주최: 데일리시큐

▶후원: 개인정보보호위원회, 한국정보보호산업협회   

▶대상: 정부·공공·공기업·정부산하기관·금융·의료·교육·일반기업 개인정보보호 및 정보보안 담당자 1,000여명 (단, 현업 보안실무자 이외 프리랜서, 학생, 일반인 등은 보안과 관련 없는 자는 참석 금지)

▶일시: 2024년 9월 10일 화요일 오전 9시~오후 5시

▶장소: 더케이호텔서울 2층 가야금홀+거문고홀A 및 로비

▶인원: 개인정보보호 및 정보보안 실무자 1,000여 명

▶전시회: 국내외 최신 보안솔루션 전시회(30여개 기업 참여)

▶참가비: 무료/1일 주차권 지급/점심식사는 제공하지 않습니다.

▶보안교육: 사전등록+현장참석+설문제출자에 한해 7시간 교육이수증 발급

▶사전등록: 9월 8일 오후 5시 마감

▶사전등록링크: 클릭

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★