IT 보안 기업 체크 포인트 리서치(Check Point Research)에 따르면, 구글 플레이 스토어에서 5개월간 활동하며 7만 달러를 탈취한 암호 화폐 지갑 유출기가 발견됐다. 이 악성 앱은 암호 화폐 분야에서 잘 알려진 앱인 월렛커넥트(WalletConnect) 프로토콜로 위장하여 사용자들을 속였다. 월렛커넥트는 다양한 암호 화폐 지갑을 분산형 금융(DeFi) 애플리케이션과 연결할 수 있도록 도와주는 앱이다.

체크 포인트 리서치는 9월 26일 블로그 포스트를 통해 모바일 사용자만을 대상으로 하는 유출기가 처음 등장했다며 사건의 심각성을 강조했다. 이 악성 앱은 가짜 리뷰와 일관된 브랜딩을 통해 1만 건 이상의 다운로드를 기록했다. 약 150명의 사용자가 유출 피해를 입었으며, 전체 사용자 중 모든 사람이 공격의 대상이 된 것은 아니다. 일부는 지갑을 연결하지 않거나 해당 앱을 사기로 인식했으며, 다른 일부는 악성 소프트웨어의 특정 타겟 기준을 충족하지 않았던 것으로 알려졌다.

가짜 리뷰 중 일부는 암호 화폐와는 무관한 기능을 언급하기도 했다. 이 가짜 앱은 3월 21일 구글 앱 스토어에 게시되었으며, '고급 회피 기법'을 사용해 5개월 이상 탐지를 피할 수 있었다. 현재 이 앱은 삭제된 상태다. 처음에는 '메스토 계산기(Mestox Calculator)'라는 이름으로 출판되었고, 나중에 여러 번 이름이 변경되었지만 애플리케이션 URL은 무해한 계산기 웹사이트를 가리키고 있었다.

안전하지 않은 앱의 검토 과정을 통과하기 위해 공격자들이 사용한 이 기술은, 자동화 및 수동 점검이 '무해한' 계산기 애플리케이션만을 로드하게 만든다. 사용자 IP 주소에 따라 해당 사용자가 모바일 기기를 사용하는 경우 악성 앱 백엔드로 리디렉션되어 지갑을 유출하는 소프트웨어인 MS 드레너가 활성화된다.

이러한 유출 기법은 대부분의 지갑 유출 기법과 유사하게 작동하여 사용자가 지갑을 연결하도록 유도하는데, 이는 실제 앱의 기능과 비슷해 의심스럽지 않게 보인다. 사용자는 지갑을 ‘확인’하기 위해 여러 가지 권한 수락을 요구받으며, 이 과정에서 공격자의 주소가 “지정된 자산의 최대 금액을 전송할 수 있는” 권한을 얻게 된다.

체크 포인트 리서치는 이러한 사건이 사이버 범죄자의 전술이 점점 더 정교해지고 있음을 시사한다고 강조하였다. 악성 앱은 기존의 전통적 공격 기법인 권한 요청이나 키로깅에 의존하지 않고, 대신 스마트 계약과 딥 링크를 사용하여 사용자들을 속여 자산을 유출하도록 만들었다. 연구자들은 사용자들이 앱을 다운로드할 때, 심지어 합법적으로 보이는 앱일지라도 경계를 해야 하며, 앱 스토어들이 악성 앱을 차단하기 위한 검증 과정을 개선해야 한다고 입을 모았다.

결국 이번 사건은 암호 화폐 커뮤니티가 Web3 기술과 관련된 위험에 대해 사용자 교육을 지속적으로 할 필요성을 강조하고 있다. 이는 겉보기에 해가 없어 보이는 상호작용이 큰 재정적 손실로 이어질 수 있음을 보여준다.

구글은 현재 이 사건에 대한 논평 요청에 즉시 응답하지 않았다. 사용자는 앞으로 더욱 신중하게 암호 화폐 관련 앱을 사용해야 하며, 관련 안전 수칙을 주의 깊게 인지하고 따라야 할 필요가 있다.


crossorigin="anonymous">