가짜 지갑 앱 구글 플레이에서 1만 번 다운로드 되며 7만 달러 훔쳐

구글 플레이에 등록된 악성 암호화폐 지갑이 사용자로부터 7만 달러를 훔친 것으로 보고되었다. 해당 앱은 세계 최초로 모바일 사용자만을 표적으로 삼은 복잡한 형태의 스캠이었다.

월렛커넥트라는 이름을 이용한 악성 앱은 유명 프로토콜 월렛커넥트를 사칭했으며 코인 지갑에서 돈을 빼돌렸다.

스캠을 최초로 발견한 사이보 보안 회사 체크 포인트 리서치(CPR)에 의하면 약 1만 명이 앱을 다운로드했다.

스캐머, 앱을 웹3 문제 해결할 솔루션으로 포장해 홍보

악성 앱을 배포한 자들은 웹3 사용자들이 호환성 문제, 서로 다른 지갑에서 월렛커넥트가 충분히 지원되지 않는 점 등 어떠한 문제에 흔히 직면하는지 정확히 파악해 그 지점을 공략했다.

이들은 머리를 굴려 악성 앱을 위의 문제에 대한 해결책으로 홍보했으며 플레이스토어에 공식 월렛커넥트 앱이 없는 점을 이용했다.

여기에 긍정적 리뷰까지 더해지자 의심하지 않은 사용자라면 앱을 정상인 것으로 착각하게 된다.

CPR의 조사에 따르면 앱이 1만 번 넘게 다운로드되는 동안 150개 이상의 코인 지갑에서 거래가 발생해 실제 피해를 입은 것으로 파악되었다.

앱이 설치되면 지갑을 연결하라는 안내가 나오고 웹3 애플리케이션에 안전하고 간편하게 연결할 수 있다고 주장한다.

그러나 실제로 사용자가 거래를 허가하면 악의적 웹사이트로 우회 접속하게 되며, 이 곳에서 지갑 정보와 블록체인 네트워크, 주소 등이 수집된다.

공격자들은 스마트 컨트랙트의 메커니즘을 이용해 미승인 거래를 실행해 피해자의 지갑으로부터 귀중한 암호화폐를 탈취할 수 있었다.

총 피해금액은 약 7만 달러일 것으로 추정된다.

앱의 악의적 의도에도 불구하고 플레이스토어에 등록된 부정적 리뷰는 20명의 피해자가 작성한 것에 불과했으며 빠르게 거짓 긍정 리뷰로 뒤덮여 그마저도 다른 사용자가 접하기 어려웠다.

덕분에 악성 앱은 5개월 동안 발각되지 않은 채 유지될 수 있었으며 결국 8월에 실체를 들킨 후 제거되었다.

CPR 사이버보안, 연구, 혁신 관리자인 알렉산더 차일리트코(Alexander Chailytko)는 이에 관해 “이번 사례는 전체 디지털 자산 커뮤니티에 경종을 울린다.”라고 말했다.

이어서 이러한 복잡한 공격을 예방하기 위해 첨단 보안 솔루션이 필요하며 사용자와 개발자 모두 디지털 자산을 안전하게 보호하기 위한 예방 조치를 취할 것을 당부했다.

구글, 악성 앱 제거

구글은 이러한 조사 사실에 대해 CPR이 발견한 모든 악성 버전이 보도 전에 제거되었다고 전했다.

구글은 또한 구글 플레이 프로텍트 기능이 자동으로 안드로이드 사용자를 알려진 위협으로부터 보호하도록 설계되었으며, 플레이스토어 외부에서 유래한 위협에 대해서도 유효하다고 덧붙였다.

이번 공격 전에는 카스퍼스키(Kaspersky)가 밝힌 공격에서 1,100만 명의 안드로이드 사용자가 네크로 멀웨어에 감염된 앱을 다운로드해 미승인된 구독료가 청구되는 사건이 발생했다.

이외에도 자동화된 이메일 답변 기능을 이용해 시스템을 해킹하고 코인 채굴 멀웨어를 은밀하게 배포하는 사이버보안 사기가 발생했다.

8월에는 “크툴루 스틸러(Cthulhu Stealer)”로 불린 맥OS 시스템 공격 소프트웨어가 합법적인 소프트웨어인 것처럼 위장한 채 메타마스크 비밀번호, IP 주소, 콜드 월렛 프라이빗키 등의 개인 정보를 탈취한 사례가 발각되었다.