이셋 리서치(ESET Research)는 모바일 사용자를 대상으로 한 드문 유형의 피싱 캠페인을 발견하고, 체코의 주요 은행 고객을 표적으로 한 실제 사례를 분석했다. 이 기법은 사용자가 서드파티 앱 설치를 허용하지 않아도 서드파티 웹사이트에서 피싱 애플리케이션을 설치할 수 있다는 점에서 주목할 만하다.

안드로이드에서는 구글 플레이 스토어에서 설치된 것처럼 보이도록 한 APK가 설치될 수 있다. 이 위협은 아이폰(iOS) 사용자도 대상으로 삼았다.

iOS를 겨냥한 피싱 웹사이트는 피해자들에게 PWA(Progressive Web Application)을 홈 화면에 추가하라고 지시하며, 안드로이드에서는 브라우저에서 사용자 정의 팝업을 확인한 후 PWA가 설치된다. 두 운영체제에서 이러한 피싱 앱들은 실제 은행 앱과 거의 구별할 수 없다.

PWA는 사실상 독립형 애플리케이션처럼 느껴지는 웹사이트로, 네이티브 시스템 프롬프트를 사용하여 이 느낌을 더욱 강화한다.

PWA는 웹사이트처럼 크로스 플랫폼이기 때문에, 이러한 PWA 피싱 캠페인이 iOS와 안드로이드 사용자 모두를 겨냥할 수 있는 것이다. 이 새로운 기법은 클라이언트 브랜드를 겨냥한 위협을 모니터링하는 이셋 브랜드 인텔리전스 서비스(ESET Brand Intelligence Service)의 분석가들이 체코에서 관찰한 것이다.

이셋 분석가들은 모바일 사용자를 겨냥한 일련의 피싱 캠페인을 발견했으며, 이 캠페인은 세 가지 다른 URL 전달 메커니즘을 사용한 것으로 분석됐다. 이 메커니즘에는 자동 음성 통화, SMS 메시지, 소셜 미디어 악성 광고가 포함된다.

음성 통화 방식은 사용자가 구형 은행 앱을 사용하고 있다고 경고하고 숫자 키보드에서 옵션을 선택하도록 강요하는 자동 통화를 통해 이루어지며, 사용자가 한다. 올바른 버튼을 누르면 피싱 URL이 SMS로 전송되는데, 이는 트위터 게시물에서도 보고된 바 있다. 초기 SMS 전달은 체코 전화번호로 무차별적으로 메시지를 보내는 방식으로 이루어졌다. 이 메시지에는 피싱 링크와 함께 피해자가 링크를 클릭하도록 유도하는 텍스트가 포함되어 있었다. 이 악성 캠페인은 인스타그램과 페이스북과 같은 메타 플랫폼에 등록된 광고를 통해 확산되었다. 이러한 광고에는 “아래에서 업데이트를 다운로드하세요.”와 같은 제한된 혜택을 포함한 콜 투 액션이 포함되었다.

첫 번째 단계에서 전달된 URL을 열면, 안드로이드 피해자들은 두 가지 캠페인 중 하나에 노출된다. 하나는 타깃이 된 은행 애플리케이션의 공식 구글 플레이 스토어 페이지를 모방한 고품질 피싱 페이지이며, 다른 하나는 해당 애플리케이션의 복제 웹사이트이다. 여기서 피해자들은 은행 앱의 ‘새 버전’을 설치하라는 요청을 받게 된다.

피싱 캠페인과 방법은 프로그레시브 웹 애플리케이션(PWA) 기술 덕분에 가능해졌다. PWA는 기존 웹 애플리케이션 기술을 사용하여 여러 플랫폼과 기기에서 실행할 수 있는 애플리케이션이다. 웹APK는 크롬 브라우저가 PWA에서 네이티브 안드로이드 애플리케이션을 생성한 것으로, 일반 네이티브 앱처럼 보인다.

또한, 웹APK를 설치할 때 ‘신뢰할 수 없는 출처에서 설치’ 경고가 표시되지 않으며, 서드파티 소스에서의 설치가 허용되지 않아도 앱이 설치된다.

한 그룹은 공식 텔레그램 API를 통해 모든 입력된 정보를 텔레그램 그룹 채팅에 기록하는 텔레그램 봇을 사용했으며, 다른 그룹은 관리 패널이 있는 기존 C&C(Command & Control) 서버를 사용했다.

이셋 연구원인 자쿠브 오스마니(Jakub Osmani)는 "캠페인이 두 개의 별도 C&C 인프라를 사용했다는 사실을 바탕으로, 두 개의 서로 다른 그룹이 여러 은행을 대상으로 PWA/웹APK 피싱 캠페인을 운영하고 있었다는 것을 확인했다."라고 말했다. 알려진 대부분의 사례는 체코에서 발생했으며, 체코 외 지역에서는 헝가리와 조지아에서 두 개의 피싱 애플리케이션만 나타났다. 이와 관련하여 이셋 리서치가 발견한 모든 민감한 정보는 즉시 해당 은행들에 전달되어 처리되었다.