안드로이드 푸시 알림을 이용한 피싱

안드로이드용 크롬 브라우저의 '사이트 알림' 기능을 악용하는 악성코드가 발견됐다. Google Play에 유명 회사의 앱으로 위장한 가짜 앱으로 등록돼 있었다. Doctor Web은 이를 Android.FakeApp.174라고 불렀다.

웹 푸시(web push) 기능은 별도로 앱을 설치하지 않더라도 뉴스나 SNS 글 등 업데이트되는 내용을 받아볼 수 있어 편리하다. 반면 피싱(phishing)이나 스팸(spam)에 악용되기도 한다. PC에서는 이미 기승을 부리고 있다(관1).

가짜 앱을 실행하면 앱 내에 설정된 사이트를 크롬 브라우저로 연다. 악성 사이트는 그림(참1)처럼 로봇이 아님을 입증하는 등 사이트의 정상적인 이용을 위해 필요하다며 허용을 유도한다. 그러나 사실은 알림 허용 여부는 사이트 이용과 전혀 관계가 없다.



알림을 허용하면 스마트폰의 상태 표시줄에 알림이 쏟아져 들어오기 시작한다. 이때 유명 사이트를 도용하기도 한다. 그림(참1)에서는 페이스북의 아이콘과 제목을 사용했다. 그러나 잘 보면 사이트 주소는 엉뚱한 곳임을 알 수 있다.



가짜 알림을 클릭하면 피싱 사이트로 이동한다. 개인정보 입력을 요구해 탈취하거나 악성코드 설치를 유도할 수 있다. 단순한 불건전 사이트일 수도 있다.

알림 기능의 특성 상, 브라우저를 실행 중이 아니라도 표시된다. 악성 앱을 삭제해도 마찬가지다. 이 악성 앱은 그저 악성 사이트를 띄우기 위한 수단에 불과하기 때문이다. 이런 악성 사이트는 그냥 웹 서핑 중에도 만날 수 있다.

만약 걸려들었다면 크롬의 설정에서, 해당 사이트를 알림 허용 목록에서 삭제하면 된다. 설정/사이트 설정/알림 경로로 들어가면 그림과 같은 화면이 나온다. 여기서 문제의 사이트를 클릭해 삭제하면 된다.



관련 자료
  1. 사이트 알림을 이용한 스팸

참고 자료
  1. Android users threatened by fraudulent push notifications

댓글

이 블로그의 인기 게시물

엑셀 필터 상태에서 복사와 잘라내기

가정에서도 망 분리를 해보자

잉크젯 프린터 전원은 항상 켜 놓아야 좋다