구글 플레이스토어에서 다른 사람의 통화 기록을 제공한다고 속여 구독료를 가로채는 사기 앱이 730만 건 이상 다운로드된 것으로 나타났다.

 

슬로바키아 사이버 보안 기업 에셋(ESET)은 지난 8일(현지 시간) 공개한 보고서를 통해 해당 활동을 '콜팬텀(CallPhantom)'으로 명명했으며, 주로 인도 및 아시아 태평양 지역의 안드로이드 사용자를 표적으로 삼았다고 더해커뉴스가 보도했다. 에셋에 따르면, 이 사기 앱들은 공식 앱 스토어에서 삭제되기 전까지 총 28개가 발견되었고, 그중 하나는 300만 건이 넘는 다운로드를 기록했다.

 

에셋의 보안 연구원 루카시 슈테판코(Lukáš Štefanko)는 "문제의 앱들은 어떤 전화번호든 통화 기록, SMS 기록, 심지어 왓츠앱 통화 기록까지 제공한다고 주장했다"고 말했다. 그는 "사용자가 이 기능을 이용하기 위해 비용을 지불하면, 앱 소스 코드에 내장된 무작위 가짜 데이터만 받게 된다"고 덧붙였다. 일부 앱은 신뢰를 얻기 위해 개발자 이름을 '인도 정부(Indian gov.in)'로 위장하기도 한 것으로 드러났다.

 

 

결제는 구글 플레이스토어의 공식 결제 시스템을 통한 구독, 인도의 통합 결제 인터페이스(UPI)를 지원하는 제3자 앱, 또는 앱 내 직접 카드 결제 양식을 통해 이루어졌다. 제3자 앱과 직접 카드 결제 방식은 구글의 정책을 위반하는 것이다. UPI 지원 앱 목록에는 구글 페이, 월마트가 지원하는 폰페, 페이팀 등이 포함되어 있었다.

 

사용자가 결제하지 않고 앱을 종료하면, 특정 번호의 통화 기록이 이메일로 성공적으로 전송되었다는 거짓 알림을 보내 결제를 유도하는 수법도 사용됐다. 구독 요금제는 앱에 따라 약 6달러에서 80달러까지 다양했으며, 에셋은 구글 플레이를 통해 결제한 사용자는 환불 정책에 따라 환불받을 수 있지만 다른 방법으로 결제한 경우 구글을 통해 환불받을 수 없다고 설명했다.

 

한편, 사이버 보안 기업 그룹-IB(Group-IB)는 '골드팩토리(GoldFactory)'라 불리는 위협 집단이 인도네시아에서 세무 플랫폼인 코어택스(CoreTax) 등을 사칭해 사용자들로부터 약 200만 달러를 훔쳤다고 밝혔다. 2025년 7월에 시작된 이 캠페인은 피싱 웹사이트, 소셜 엔지니어링, 악성 APK 파일 사이드로딩, 보이스 피싱 등을 통합한 공격 방식을 사용했다.

 

헬로티 구서경 기자 |