최근 피싱 캠페인이 가짜 Google 계정 보안 페이지를 통해 Progressive Web App(PWA) 기반 악성 앱을 배포하고 있습니다. 이 앱은 일회용 비밀번호(OTP) 탈취, 암호화폐 지갑 주소 수집, 피해자 브라우저를 통한 공격자 트래픽 프록시 기능을 갖추고 있습니다. 공격자는 google-prism[.]com 도메인을 사용해 실제 Google 보안 서비스처럼 위장하고, 사용자가 보안 점검을 받는 것처럼 속여 위험한 권한을 부여하도록 유도합니다.
이 악성 PWA 앱은 연락처, 실시간 GPS 데이터, 클립보드 내용 등 다양한 정보를 탈취할 수 있으며, 네트워크 프록시 및 내부 포트 스캐너 역할도 수행합니다. 또한, WebOTP API를 이용해 SMS 인증 코드를 가로채고, 주기적으로 명령을 받아 추가 악성 행위를 실행한다. 알림 권한을 요청해 사용자가 앱을 다시 열도록 유도하며, 서비스 워커를 통해 푸시 알림, 데이터 준비, 명령 실행 등 다양한 기능을 수행합니다.
사용자가 모든 보안 기능을 활성화하면 Android용 악성 APK 파일도 제공되는데, 이 파일은 33개의 고위험 권한을 요구하며, 키 입력 감지, 알림 접근, 자동 입력 자격 증명 탈취 등 다양한 악성 기능을 포함합니다. 연구진은 Google이 웹 팝업이나 소프트웨어 설치를 요구하지 않는다는 점을 강조하며, 의심스러운 앱은 즉시 삭제하고, 기기 관리자 권한을 가진 앱은 설정에서 권한을 해제한 후 삭제할 것을 권고합니다.
※ 이 글은 생성형 AI(gpt4.1)에 의해 요약되었습니다.