반응형
최근 보안 업체 Doctor Web은 충격적인 조사 결과를 발표했습니다.
중국 제조사에서 유통되는 저가형 안드로이드 스마트폰에 악성 앱이 사전 설치되어
사용자 몰래 암호화폐를 탈취하고, 민감 정보를 수집하고 있다는 사실입니다.
이들 스마트폰은 삼성 Galaxy S23 Ultra, 샤오미 Note 13 Pro 등
유명 브랜드를 모방한 이름을 붙였고, 주로 SHOWJI라는 브랜드로 유통됩니다.
💣 감염 경로: '가짜 WhatsApp/Telegram' 사전 설치
이 스마트폰에는 WhatsApp이나 Telegram처럼 보이는 앱이 설치되어 있지만,
실제로는 악성 코드가 삽입된 트로이 목마 버전입니다.
- 사용자는 정상 앱으로 착각하고 사용
- 메시지 수신/송신 중 암호화폐 지갑 주소를 공격자 주소로 대체
- 대체된 주소로 송금 시 피해 발생
이 악성 앱은 LSPatch라는 오픈소스 프로젝트를 활용해
정상 APK를 패치한 뒤, 악성 업데이트를 비밀리에 받아오는 방식으로 동작합니다.
📌 이 기법은 '클리퍼(Clipper)' 유형 공격으로 분류됩니다.
🧪 악성 기능 요약
| 기능 | ㅇ |
| 📋 클리핑 | 이더리움·트론 지갑 주소 식별 → 공격자 주소로 대체 |
| 📤 정보 유출 | WhatsApp 메시지, 기기 정보, 이미지, 문서 등 탈취 |
| 🧠 사용자 기만 | 기기 사양/OS 정보를 조작해 고성능 기기로 위장 |
| 🌐 통제 서버 | 최소 60개의 C2 서버 + 30여 개의 악성 도메인 운영 |
💰 피해 규모는?
- 한 지갑 주소에서만 미화 100만 달러 이상 수익
- 다른 지갑들 합산 시 수십만 달러 규모 피해
- 피해자 분포는 러시아, 동유럽, 아시아 지역이 중심
🏭 공급망 공격으로 진화 중
이 사례의 핵심은 바로 공급망 침투형 악성코드라는 점입니다.
📦 유통 전 감염 시점
| 단체 | 감염 가능성 |
| 📱 제조 단계 | 펌웨어나 시스템 앱에 악성코드 삽입 |
| 🚛 배송 중간 | 소규모 유통업체 또는 창고에서 펌웨어 조작 |
| 🔧 소프트웨어 업데이트 | OTA 업데이트를 가장한 악성 패치 전달 |
🧠 기업에게 미치는 영향
기업 입장에서 이 문제는 단순 사용자 이슈가 아닙니다.
- ☠️ 기업 메신저 (WhatsApp 등)를 통해 내부 기밀 유출
- 🧪 API 키, 액세스 토큰 탈취 가능성
- 🧨 공격자 계정으로 송금, 인증 오류 발생 가능성
- 🏷 고객이 오해할 경우, 브랜드 신뢰도 하락
🛡 기업을 위한 대응 전략
| 대응 | 항목설명 |
| ✅ MDM 정책 강화 | 불분명한 기기 접근 차단, 기기 무결성 검사 |
| 🧪 사전 보안 진단 | 유통사·제조사 보안성 검토 |
| 🔐 API 보안 강화 | 키 관리, 민감 호출 제한, WAF 적용 |
| 🛑 악성 앱 탐지 솔루션 | 사전 설치 앱도 탐지 가능한 모바일 보안 도입 |
🙋♂️ 소비자를 위한 보안 팁
- 📦 공식 유통 채널에서만 스마트폰 구매하기
- 📱 사전 설치 앱 확인, 불필요한 앱은 제거
- 🛡 신뢰할 수 있는 모바일 백신 설치
- 📲 Google Play Protect 활성화하기
728x90
반응형
'CyberSecurity > Security🔐' 카테고리의 다른 글
| 🌫️ 다단계 피싱 공격 'Cascading Shadows' 분석: Agent Tesla부터 Remcos까지 (9) | 2025.04.18 |
|---|---|
| ✈️ GPS 스푸핑, 이제는 일상이 되었다 (2) | 2025.04.18 |
| 😈 AI의 ‘속삭임’ 문제, 이제야 잡을 수 있을까? (1) | 2025.04.17 |
| 🛡 CVE 프로그램, 끊길 뻔했다 (0) | 2025.04.17 |
| 🧨 Apache Roller에서 발견된 최대 심각도 취약점 (CVE-2025-24859) (1) | 2025.04.17 |