실제 스마트폰을 통해 발생한 대규모 자격 증명 유출 및 악용 사례는 매우 다양하며, 특히 인포스틸러 계열 악성코드나 피싱 앱, SMS 피싱, MFA 우회 등을 통해 현실에서 발생합니다. 아래에 실제 발생했거나 실전 가능한 위협 시나리오를 모바일 중심으로 정리해드리겠습니다.
---
I. 실제 사례 요약
사건 설명 발생 국가 영향
TeaBot / FluBot 악성코드 안드로이드 뱅킹 앱 위장 → 설치 시 전체 SMS, 계좌 정보 탈취 유럽, 한국 포함 수십억 원 피해
Apple ID 피싱 via iMessage iMessage 통해 Apple 로그인 유도 → 2FA 코드 탈취 미국 iCloud, 사진 유출
OTP 리다이렉션 앱 합법 앱 위장 → OTP 메시지 가로채어 은행 인증 우회 동남아, 인도 기업 계좌 탈취
---
II. 스마트폰 기반 실제 악용 시나리오
1. 악성 앱 설치 → 전체 로그인 정보 탈취
공격 경로:
"무료 와이파이", "고속충전", "캐시백 리워드" 등 위장 앱 설치
Android에서 권한 허용 → Accessibility 기능 통해 화면 자동 조작
피해:
Google, Facebook, Instagram 로그인 정보 수집
키보드 입력 및 복사 내용(OTP 포함) 수집
실제 사례: 2022년 TeaBot → 카카오뱅크, 우리은행 앱 위장 후 전체 금융권 해킹
---
2. 문자(SMS) 기반 MFA 우회 및 리디렉션
공격 경로:
“택배 도착” 등 SMS 링크 클릭 → APK 설치 유도
설치된 앱이 SMS 수신 내용을 자동 전송 (2FA 코드 포함)
피해:
사용자가 직접 인증을 수행한 것처럼 시스템 인식
은행 앱 2단계 인증, 애플/구글 로그인까지 우회
실제 사례: 2021년 FluBot → 한국에서 SKT/KT/LGU+ 사용자 10만 명 이상 감염
---
3. iPhone 사용자를 노린 iMessage 피싱
공격 경로:
“귀하의 Apple ID가 차단되었습니다”라는 메시지 도착
링크 클릭 시 Apple 로그인 페이지 위장 → ID/PW + OTP 입력 유도
피해:
iCloud 전체 접근
사진, 메모, 위치 기록 유출
피해자는 가족사진·메모 등 유출되어 금전 협박 피해
실제 사례: 2023년 미국, FBI 발표에 따르면 최소 5,000명 이상 피해
---
4. 보안카드/계좌 정보 탈취 앱 유포
공격 경로:
“은행 보안강화 앱 설치 요청” → 유사 UI 앱 설치
로그인 UI 자체를 모방하여 입력정보 저장
피해:
은행 보안카드, 공인인증서, 간편비밀번호 등 모두 유출
백그라운드에서 가짜 푸시 알림까지 조작
실제 사례: 2022년 한국 사이버안전센터 발표 – 35개 위장 앱 확인됨
---
5. 클라우드 동기화를 통한 대량 유출
공격 경로:
휴대폰에서 저장된 Chrome/Edge 브라우저의 저장 비밀번호 → 클라우드 동기화
데스크탑에서도 연동되어 자동 저장
스마트폰 감염 후 연동된 Google 계정을 통해 모든 자격 증명 탈취
피해:
LinkedIn, Netflix, AWS 콘솔, Outlook 등의 크리덴셜 자동 탈취
실제 사례: 2023년 RedLine + Android AgentBot 연동 공격
---
III. 스마트폰 공격의 공통 특성
공격 수단 특징 주요 공격자 전략
악성 APK 사용자 허가 기반 SMS, 키보드, 화면 캡처, 클립보드 탈취
피싱 메시지 심리 유도 공공기관 사칭, 택배, 금융, 정부
OTP 탈취 2FA 우회 핵심 문자 가로채기, App-Permission 활용
Accessibility Abuse 자동화 공격 입력값 캡처 + 앱 내 자동 조작
---
IV. 대응 방안
1. 설정 제한
Android: ‘출처를 알 수 없는 앱 설치’ 차단
iOS: 앱 추적 제한, Safari 개인정보 보호 활성화
2. MFA 방식 변경
SMS 기반 → OTP 앱 (Google Authenticator, Authy 등) 전환
3. 의심 앱 자동 감지
Bouncer Security, Lookout Mobile Security 등 사용
4. 데이터 동기화 점검
Chrome/Edge 계정 동기화 중단
카테고리 없음