안드로이드 기반 기기를 대상으로 하는 암호화폐 사기 앱이 등장해 사용자들의 각별한 주의가 요구된다. 유럽 엔드포인트 보안 전문 업체 이셋(ESET)에 따르면 암호화폐 관련 사기가 PC 뿐 아니라 안드로이드 기기를 타깃으로도 진행되고 있으며, 다양한 종류의 앱으로 위장해 피해를 일으키고 있다.
대표적으로 위장 암호화폐 환전 앱을 것을 들 수 있다. 대부분의 거래소는 모바일 환전 앱을 제공하지 않는다. 위조된 앱은 환전 프로그램 계정 정보를 얻기 위한 피싱 사이트로 사용자를 유도하며, 도용된 계정 정보는 암호화폐 탈취에 이용될 가능성이 높다. 위장 환전앱은 지난해 구글 플레이에서 다수 발견됐다.
가짜 암호화폐 지갑 앱 또한 유사한 피싱 방법을 이용해 사용자의 비밀키 등의 계정 정보를 탈취할 수 있다. 오픈소스 이더리움 지갑 마이이더월렛을 가장한 앱에서 악성 행위가 관찰됐다. 모바일 환전과 마이이더월렛은 정식 모바일 앱을 제공하지 않기 때문에 사기범들이 자주 이용한다.
피싱 앱 이외에도 피해자가 코인을 공격자의 지갑으로 전송하도록 유도하는 가짜 암호화폐 지갑 앱도 발견됐는데, 사용자가 새 지갑의 공개키를 생성하면 생성된 주소로 코인을 전송하도록 유도하지만 전송된 코인은 사용자의 지갑이 아닌 공격자의 지갑으로 전송된다.
최근 암호화폐 채굴 작업의 호황으로 안드로이드 기반 채굴 앱의 수도 증가하고 있다. 암호화폐 채굴 앱이 악성인지 아닌지는 사용자의 동의 여부에 달려 있으며, 다른 사람이 내 장치를 도용하여 채굴을 하고 있다면 악성코드로 분류한다.
구글 플레이에 등록된 인기 게임 버그 스매쉬 는 수 만 대의 안드로이드 기기에서 모네로 암호화폐를 비밀리에 채굴하고 있는 것으로 알려졌다. 이와 유사하게 암호화폐 채굴 앱으로 위장해 사용자의 동의 하에 설치되지만, 실제로 채굴 작업 없이 광고 만을 표시하는 가짜 채굴 앱도 등장했다. 이들 모든 앱들은 이셋 제품에 의해 악성코드로 탐지되고 차단된다.
김남욱 이셋코리아 대표는 "암호화폐에 대한 관심과 인기에 힘입어 이와 관련된 다양한 공격이 등장하고 있다. 암호화폐 거래 및 지갑 앱들은 모바일 뱅킹 앱과 동일한 보안 수준으로 다루어져야 하며, 사이트에서 공식적으로 제공하는 앱인지 반드시 확인해야 한다. 구글 플레이에서 앱을 다운로드 할 때 다운로드 횟수, 앱 평점, 리뷰에 관심을 갖는 것이 필요하며, 안드로이드 운영체제를 최신 상태로 유지하고 신뢰할 수 있는 모바일 보안 솔루션을 사용하는 것이 좋다”고 말했다.
