25일(현지시간) 코인에디션에 따르면, 블록체인 보안 회사 슬로우미스트(SlowMist)가 애플 앱스토어 내 정상 어플로 가장해 160만 위안(약 2.8억원)을 훔친 피싱 앱을 발견해 보고했다.
피싱 앱은 애플의 2단계 인증(2FA)을 우회할 수 있도록 설정 돼, 해커가 사용자 계정에 대한 전체 액세스 권한을 얻고 마음대로 거래를 수행할 수 있게 해준다.
이 같은 소식은 피해자가 중국 내 IT전문 커뮤니티로 유명한 온라인 포럼 ‘V2EX’에 방문해 도움을 요청하면서 밝혀졌다.
이 피싱 프로그램은 애플의 앱스토어 내 합법적인 어플처럼 보이도록 제작이 됐으며, 다운로드가 완료되면 역시나 정상 어플 처럼 자연스럽게 암호 입력 상자가 나타나서 ‘Apple ID 인증을 사용해 로그인을 진행하라’는 메시지가 사용자에게 표시된다.
그리고 이 시점에서 공격자는 사용자도 모르는 사이 애플 ID의 자격 증명을 가로채 간다.
자격증명을 가로 챈 해커는 피해자의 2FA 설정에서 ‘신뢰할 수 있는 번호 목록’에 자신의 전화번호를 추가하는 것을 통해 해당 계정에 대한 무제한 액세스 권한을 얻어내는 방식으로 자금을 빼돌렸다.
특히 해커는 해킹한 애플ID를 즉시 악용하는 대신, 교활하게 ‘가족 공유’ 설정을 생성한 후 다른 계정을 통해 앱 내 가상 상품을 구매하는 방식으로 의심을 피해가는 수법을 썼다.
한편, 이를 두고 슬로우미스트는 “이것은 애플의 2FA를 우회하는 매우 영리한 피싱 방법”이라고 평가했다.
그러면서 애플의 아이폰 사용자, 특히 iCloud 백업을 자산 저장 솔루션으로 사용하는 암호화폐 관련 사용자에게 경고했다.
공격이 발생할 경우 이러한 사용자는 손상된 iCloud 백업으로 인해 막대한 재정적 손실을 입게될 위험에 처할 수 있다.