1. 미끼 발송 (Attack Launch)
공격자는 불특정 다수에게 사회적 공학 기법을 이용한 문자를 보냅니다.
- 키워드: 택배 배송 오류, 정부 지원금, 부고 알림, 카드 결제 확인 등.
- 수단: 단축 URL (bit.ly 등) 또는 일반 URL 포함.
2. 악성 앱 유도 (Infection Vector)
사용자가 URL을 클릭하면 피싱 사이트로 연결되거나, 안드로이드 패키지 파일인 APK 설치를 유도합니다.
- 기술적 특징: 정상 앱(예: CJ대한통운, 모바일 백신)과 거의 똑같은 UI를 가진 가짜 앱입니다.
3. 권한 탈취 (Privilege Escalation)
앱이 설치되면 사용자에게 무리한 권한 승인을 요구합니다.
- 요구 권한: SMS 읽기/쓰기, 연락처 접근, 통화 기록, 위치 정보, 접근성 서비스(Accessibility Service) 등.
- 특히 접근성 권한을 얻으면 사용자의 화면을 훔쳐보거나 조작할 수 있게 됩니다.
4. 정보 유출 및 가로채기 (Exfiltration & Interception)
- C&C 서버 통신: 설치된 악성 앱이 공격자의 서버(Command & Control)와 통신을 시작합니다.
- 개인정보 탈취: 스마트폰 내의 금융 인증서, 연락처, 사진 등을 서버로 전송합니다.
- 전화 가로채기: 사용자가 은행이나 경찰에 전화를 걸면 공격자의 콜센터로 연결되도록 리다이렉트합니다.
5. 수익 편취 (Monetization)
- 소액 결제를 진행하고 인증 문자를 가로채서 승인합니다.
- 탈취한 계좌 정보를 이용해 돈을 이체하거나, 제3의 범죄에 명의를 도용합니다.
안드로이드 개발 시 보안 가이드라인에서 강조하는 '출처를 알 수 없는 앱 설치' 차단과 'Runtime Permission' 관리의 중요성이 바로 이 스미싱 구조의 2~3단계 연결 고리를 끊기 위함이라고 볼 수 있습니다.