Iamprovider

CTM360, TikTok Shop 사용자를 노리는 악성 'FraudOnTok' 캠페인 발견

CTM360, TikTok Shop 사용자를 노리는 악성 'FraudOnTok' 캠페인 발견

FraudOnTok 캠페인의 정체를 밝히다

사이버보안 기업 CTM360이 'FraudOnTok'으로 명명된 고도로 조직화된 글로벌 위협의 실체를 공개했습니다. 이 캠페인은 TikTok의 상업적 매력을 무기화하여 SparkKitty 스파이웨어를 배포합니다. 가짜 상점과 AI 생성 프로모션을 통해 완벽한 정당성을 연출하는 방식으로, 공격자들은 사용자의 자격 증명을 피싱하고, 눈치채지 못한 사용자의 기기에 몰래 악성코드를 설치하고 있습니다. 이 하이브리드 접근법은 디지털 사기와 금융 절도를 산업적 규모로 결합한, 소셜 커머스 사기의 위험한 진화를 보여줍니다.

이 작전의 정교함은 플랫폼의 쇼핑객과 제휴 판매자 모두를 표적으로 하는 이중 벡터 공격 전략에 있습니다. 연구진들은 .top이나 .shop 확장자를 사용하는 변종과 같이 공식 TikTok Shop URL을 모방하도록 설계된 15,000개 이상의 유사 도메인으로 구성된 광범위한 인프라를 확인했습니다. 이들은 단순한 모방 사이트가 아닙니다. 위조된 로그인 절차, '믿기지 않을 만큼 좋은' 할인을 제시하는 사기 상점, 트로이 목마화된 애플리케이션 다운로드 유도 등을 호스팅하는 전문적으로 관리되는 포털로, 모든 것이 피해자를 데이터 유출이나 되돌릴 수 없는 암호화폐 결제로 유도합니다.

기만적 인프라: 유사 도메인과 가짜 앱

FraudOnTok의 핵심은 방대한 디지털 도플갱어 네트워크입니다. 위협 행위자들은 'tikshop-gifts'나 'tiktok-bonus'와 같이 합법적인 TikTok 커머스 서비스를 교묘하게 닮은 수천 개의 도메인을 등록하여 대충 훑어보는 눈길을 통과시킵니다. 이 사이트들은 단순한 피싱 페이지가 아닙니다. 제품 목록, 쇼핑 카트, 제휴 대시보드까지 갖춘 TikTok Shop 경험의 완전한 복제품입니다. 목표는 허위의 안전감을 조성하여 사용자가 두 번 생각하지 않고 로그인 정보나 결제 정보를 입력하도록 유도하는 것입니다.

웹을 넘어, 이 캠페인은 위조된 모바일 애플리케이션을 푸시합니다. 이 트로이 목마화된 'TikTok Shop' 앱들은 종종 광고의 QR 코드나 Telegram과 같은 암호화 메시징 플랫폼의 링크를 통해 배포됩니다. 일단 설치되면 공식 앱의 인터페이스를 완벽하게 복제하지만 SparkKitty 페이로드가 내장되어 있습니다. 이 다중 표면 접근법은 피해자가 브라우저에 있든 모바일 기기에 있든 함정이 설치되도록 보장하여 공격의 범위와 효과를 크게 넓힙니다.

가짜 앱의 작동 방식

악성 애플리케이션들은 코드 내에 교묘한 사회 공학을 사용합니다. 예를 들어, 이메일 기반 로그인 시도를 의도적으로 실패하게 하여 사용자가 Google OAuth 절차를 통해 인증하도록 유도할 수 있습니다. 이 전술은 아마도 세션 토큰을 탈취하고 전통적인 보안 검사를 우회하기 위한 목적일 것입니다. 일단 내부로 들어가면, 사용자가 상점 섹션으로 이동하면 또 다른 가짜 로그인 화면이 나타나, SparkKitty 악성코드가 배경에서 기기 데이터를 긁어내는 동안 자격 증명을 수확하는 루프를 생성합니다.

SparkKitty 스파이웨어: 침묵하는 데이터 도둑

SparkKitty는 이 캠페인의 절도 엔진으로, 이전에 문서화된 SparkCat과 관련된 크로스 플랫폼 스파이웨어 변종입니다. 일단 Android나 iOS 기기에 침투하면 놀라울 정도로 은밀하게 작동합니다. 그 능력은 단순한 키로깅을 넘어섭니다. 기기 지문 추적, 복사된 비밀번호나 암호화폐 주소를 위한 클립보드 내용 모니터링, 광학 문자 인식(OCR)을 사용하여 사용자의 사진 갤러리에서 암호화폐 지갑 시드 구문이나 개인 키가 포함된 스크린샷을 스캔합니다.

이 데이터는 종종 Telegram 봇을 통해 공격자가 통제하는 서버로 유출되어 피해자의 디지털 자산에 대한 실시간 접근을 가능하게 합니다. 이미지를 읽을 수 있는 이 스파이웨어의 능력은 특히 음흉한데, 사용자가 자신도 모르게 갤러리에 민감한 금융 정보를 저장할 수 있기 때문입니다. 자격 증명 도용과 직접적인 지갑 비우기를 결합함으로써, FraudOnTok는 금전적 피해를 극대화하여 피해자들을 계정에서 잠그고 비워진 암호화폐 보유량을 남깁니다.

대규모 사회 공학: AI와 유료 광고

FraudOnTok의 유통 기계는 무자비하게 효율적이며, 악의적인 목적으로 현대 마케팅 전술을 활용합니다. 공격자들은 실제 TikTok 인플루언서나 브랜드 앰배서더를 모방한 AI 생성 동영상을 사용하여 가짜 플래시 세일이나 독점 제휴 기회를 홍보합니다. 이러한 동영상들은 Meta(Facebook)와 TikTok 자체 내부와 같은 플랫폼의 유료 광고를 통해 부스팅되어 초기 사용자의 회의를 우회하는 정당성의 분위기를 빌려줍니다.

그런 다음 트래픽은 다각적 전략을 통해 유도됩니다: 광고에서 유사 도메인으로, 그리고 종종 WhatsApp이나 Telegram의 비공개 채널로 들어갑니다. 이 채팅 이동 전술은 일대일 대화를 통해 긴박감을 고조시키며, 사기꾼들은 앱 다운로드나 암호화폐 결제와 같은 위험한 행동을 촉구하기 위해 압박 전술을 적용합니다. 전체 과정은 방어를 점진적으로 낮추도록 설계되어, 소셜 미디어 생태계에 대한 신뢰를 악용하여 사기를 용이하게 합니다.

암호화 메시징의 역할

대화를 Telegram이나 WhatsApp으로 옮기는 것은 이중 목적을 제공합니다: 개인화된 강압을 통해 설득을 강화하고, 주류 플랫폼의 신고 및 집행 메커니즘 밖에 상호 작용을 배치합니다. 여기서 피해자들은 자신의 '계정이 위험에 처했다'거나 '한정 시간 보너스'가 즉각적인 조치를 필요로 한다는 말을 들을 수 있으며, 이는 논리적 경계를 무시하는 허위 위기를 생성합니다.

금융 엔진: 암호화폐와 수익 창출

FraudOnTok의 수익화 모델은 의도적으로 되돌릴 수 없는 거래에 기반을 두고 구축되었습니다. 환불 옵션을 제공하는 전통적인 카드 결제와 달리, 이 캠페인은 독점적으로 암호화폐 결제—종종 USDT, ETH 또는 기타 디지털 자산—를 강요합니다. 가짜 상점에서 쇼핑하는 피해자들은 암호화폐 전용 결제로 안내되며, 제휴 판매자들은 향상된 수수료나 결코 실현되지 않는 인출 보너스를 약속하며 가짜 지갑에 '충전'하도록 유도됩니다.

금융 흡입은 거기서 멈추지 않습니다. 도난당한 자격 증명은 계정 탈취를 가능하게 하여, 탈취된 TikTok Shop 또는 광고 계정이 재판매되거나 추가 사기에 악용되어 폭발 반경을 증폭시킵니다. 이는 계층화된 수익 흐름을 생성합니다: 지갑에서 직접 암호화폐 절도, 손상된 계정 재판매, 그리고 잠재적 광고 사기. 암호화폐에 초점을 맞추는 것은 자금 추적을 어렵게 할 뿐만 아니라 공격자들의 빠르고 추적 불가능한 금전적 이득이라는 목표와도 일치합니다.

사용자와 브랜드를 위한 실질적 방어

이렇게 정교한 캠페인과 싸우려면 모호한 경고보다 구체적이고 실행 가능한 단계가 필요합니다. 개별 사용자에게 첫 번째 방어선은 경계입니다: 항상 오타나 .icu와 같은 비정상적인 확장자를 찾아 도메인 이름을 수동으로 확인하세요. 타사 소스에서 앱을 다운로드하거나 QR 코드에서 APK를 사이드로드하지 마세요; 공식 앱 스토어만 사용하세요. 강력한, 하드웨어 기반 2단계 인증(2FA)을 활성화하거나 플랫폼 로그인에 패스키를 사용하고, 자격 증명 재사용을 피하기 위해 비밀번호 관리자를 사용하세요.

TikTok Shop에서 운영하는 브랜드와 판매자에게는 사전 예방적 모니터링이 핵심입니다. 도메인과 소셜 미디어 전반에 걸친 브랜드 사칭을 스캔하기 위해 디지털 위험 보호 서비스를 구현하세요. 지급 방법의 갑작스러운 변경이나 낯선 위치에서의 새로운 관리자 추가와 같은 비정상적인 계정 활동에 대한 경고를 설정하세요. 또한, 커머스 관련 키워드 주변의 광고 검토 정책을 강화하기 위해 플랫폼과 협력하여 사기성 콘텐츠의 유료 유통을 억제하는 데 도움을 주세요.

전망: 디지털 커머스 보안을 위한 교훈

FraudOnTok 캠페인은 소셜 커머스가 성장함에 따라 사이버 범죄자들에게도 매력적이어진다는 냉엄한 경고입니다. 이 작전은 피싱, 악성코드 배포, AI 기반 사회 공학의 증가하는 융합을 강조하며—이는 다른 플랫폼에 쉽게 재사용될 수 있는 혼합물입니다. 보안 커뮤니티에게는, 특히 타사 다운로드가 위험을 초래하는 앱 생태계에서 실시간 위협 인텔리전스 공유와 더 강력한 인증 메커니즘의 필요성을 강조합니다.

궁극적으로, 이 환경에서 안전을 유지하려면 마인드셋의 전환이 필요합니다: 믿기지 않을 만큼 좋은 온라인 거래를 극도의 회의론으로 대하고, 쇼핑 경험의 일부로 보안 위생을 우선시하세요. FraudOnTok와 같은 위협 뒤에 숨은 전술을 이해함으로써, 사용자와 기업은 더 회복력 있는 방어를 구축할 수 있으며, 전자상거래의 혁신이 그 신뢰를 악용하려는 자들에 의해 훼손되지 않도록 보장할 수 있습니다. 이 캠페인의 규모는 방대할 수 있지만, 정보에 입각한 경계심으로 그 영향은 억제될 수 있습니다.