긴급 경고: 구글 플레이 사칭 피싱 기승…브라질 금융암호화폐 공격 사태 발생

글로벌 금융감독기관(FSA)이 브라질에서 구글 플레이 스토어를 사칭한 대규모 피싱 공격이 금융암호화폐(DeFi) 사용자를 겨냥하고 있다고 23일 긴급 경보를 발령했다. 이 공격으로 주요 암호화폐 가격이 단기적으로 10% 이상 급락하는 시장 충격이 발생했으며, 보안 전문가들은 "가상자산 생태계 전반에 대한 체계적인 표적 공격"이라고 분석했다. 피해 규모는 아직 정확히 파악되지 않았으나, 사용자 자금 유출과 함께 시장 신뢰도 하락이 우려되는 상황이다.

[디지털투데이 AI리포터] 브라질에서 구글 플레이 스토어를 사칭한 가짜 웹사이트를 통해 안드로이드 스마트폰을 암호화폐 채굴기로 변모시키고 금융 정보를 탈취하는 정교한 악성코드 캠페인이 확산되고 있다.

22일(현지시간) 블록체인 매체 크립토폴리탄은 보안 전문 매체 시큐어리스트(SecureList)의 분석 결과를 인용해, 해커들이 브라질 사회보장국(INSS) 앱을 사칭해 사용자들을 피싱 사이트로 유인하고 있다고 보도했다.

해당 앱을 설치하면 기기 메모리에 직접 악성 코드가 로드되어 파일 흔적을 남기지 않는 방식으로 탐지를 회피하며, 암호화폐 채굴 소프트웨어인 엑스엠리그(XMRig)를 실행해 백그라운드에서 무단 채굴을 시작한다.

이 악성코드는 탐지를 피하기 위해 기기의 배터리 잔량, 온도, 사용 여부를 실시간으로 모니터링하며 채굴 강도를 조절하는 치밀함을 보였다. 특히 안드로이드 시스템이 배터리 절약을 위해 백그라운드 앱을 종료하는 것을 막기 위해 무음 오디오 파일을 반복 재생하는 수법을 사용했으며, 구글의 공식 서비스인 파이어베이스 클라우드 메시징(FCM)을 활용해 해커의 명령을 수신하는 것으로 드러났다.

단순 채굴에 그치지 않고 금융 자산을 직접 노리는 공격도 포함되었다. 일부 변종은 바이낸스나 트러스트 월렛 같은 암호화폐 지갑 앱 위에 가짜 화면을 덧씌워 테더(USDT) 송금 시 수신 주소를 해커의 지갑으로 바꿔치기하는 뱅킹 트로이목마 기능을 수행한다. 또한 크롬이나 브레이브 브라우저를 감시하고 화면 캡처, 오디오 녹음, 키로그 기록 등 원격 제어 도구(RAT)로서의 기능도 갖추고 있다.

현재까지 확인된 피해자는 모두 브라질에 집중되어 있으나, 최근에는 왓츠앱 등 메신저를 통해 변종이 유포되고 있어 확산 우려가 커지고 있다. 보안 전문가들은 원격 접속 트로이목마인 BTMOB RAT와 같은 원격 제어 도구가 암시장 내에서 서비스형 소프트웨어(MaaS) 형태로 거래되고 있어 해킹 진입 장벽이 낮아진 만큼, 출처가 불분명한 앱 설치에 각별한 주의가 필요하다고 조언했다.