오늘

아이폰 사용자 계정 정보 탈취

이스트시큐리티가 최근 국내에서 안드로이드와 아이폰 사용자 모두를 대상으로 하는 '몸캠 피싱 사기'가 발견됐다며 주의를 당부했다.

몸캠 피싱이란 영상통화 등을 통해 음란행위를 유도하고 이를 녹화한 뒤 유포하겠다고 협박해 돈을 뜯어내는 신종 사기 수법이랍니다.

범죄 조직은 모르는 사람과 무작위로 채팅을 연결해 주는 모바일 랜덤 채팅앱을 통해 피해자를 물색하고. 이후 일대일 대화를 이유로 라인, 카카오톡, 스카이프 등 모바일 메신저로 피해자를 초대해 몸캠 화상 채팅을 요구하고, 영상을 녹화한답니다

이후 음성이 안 들리거나 영상이 잘 안 보인다는 핑계를 대며 원활한 채팅을 위해 다른 앱을 추가로 설치하게끔 유도하구요.

일반적으로 추가 설치되는 app은 스마트폰에 저장된 지인의 연락처를 탈취하는 악성app으로, 범죄 조직은 탈취한 피해자의 실제 지인 연락처로 몸캠 영상을 유포하며 금전을 갈취하기 위해 협박한다고하니 무섭습니다.

그동안 비등록 앱 설치가 불가능한 아이폰(iOS) 사용자들은 이 같은 보안 위협에서 안전하다고 알려져 왔지만, 새롭게 발견된 몸캠 피싱은 지금과는 다른 방식을 사용해 아이폰 사용자의 계정 정보를 탈취하는 것으로 확인됐습니다.

앱 설치를 위해 아이튠스(iTunes) 계정 정보 입력을 요구하고, 피해자들이 입력한 계정 정보를 이용해 애플의 클라우드 서비스인 아이클라우드(iCloud)에 동기화된 지인의 연락처 정보를 빼내 몸캠 유포를 무기로 협박하는 것

화면에서 피해자가 안드로이드앱 버튼을 클릭하면, 이전과 동일하게 악성앱이 다운로드된다. 만약 iOS앱 버튼을 클릭하면, 애플 앱스토어와 똑같이 꾸며진 화면이 나타나고 앱 설치를 위해 아이튠즈 계정 정보 입력을 요구한다.

그다음 범죄 조직은 피해자들이 입력한 계정 정보를 이용해 아이클라우드에 동기화돼있는 지인 연락처 정보를 빼내고, 몸캠 유포를 무기로 위협한다.

지금까지 아이폰에 사용되는 iOS 운영체제는 스미싱, 피싱, 랜섬웨어 등으로부터 상대적으로 안전하다고 알려져 왔지만, 그다지 안전하지 않다는 걸 보여준 사례입니다.

이스트시큐리티의 스마트폰 보안앱 ‘알약 안드로이드’에서는 이번 몸캠 피싱에 사용된 악성 안드로이드앱을 탐지명 ‘Trojan.Android.FakeApp’로 진단 후 치료하고 있다.