Lucid PhaaS 기반 iMessage 및 RCS 스미싱 캠페인 분석

Lucid PhaaS Hits 169 Targets in 88 Countries Using iMessage and RCS Smishing

Lucid PhaaS Hits 169 Targets in 88 Countries Using iMessage and RCS Smishing

 

아이메시지 암호화 피해 피싱 링크 보내는 루시드 공격 주의보

아이메시지 암호화 피해 피싱 링크 보내는 루시드 공격 주의보

 

• 공격 개요
  • Lucid는 중국어 사용 해커 그룹 신신(XinXin)이 운영하는 피싱 플랫폼(PhaaS)으로, 전 세계 88개국 169개 타깃에 공격 수행
  • iMessage 및 RCS(Rich Communication Services)를 통해 고급 스미싱 공격 전개
  • 전통적인 SMS 필터링 회피, 암호화 메시지 기반 전송을 통해 탐지 우회
• 기술적 특징
  • 임시 애플 ID와 가짜 표시 이름을 활용하여 iMessage 발송
  • iPhone 팜 및 Windows 기반 모바일 에뮬레이터 사용, 하루 10만 건 이상 메시지 전송
  • RCS의 발신자 검증 미비를 이용한 안드로이드 대상 공격 병행
• 공격 벡터 및 수법
  • 주요 타깃은 미국, 영국, 유럽 금융기관 및 일반 사용자
  • 미납 통행료, 택배, 세금환급 등으로 위장한 사회공학 기반 메시지 활용
  • 클릭 유도 후 단일 사용, 시간 제한 URL 포함된 피싱 웹사이트 접속 유도
  • Lucid 패널은 실시간 피해자 동작 모니터링 및 입력 정보 수집 가능
• 피싱 웹사이트 구성 및 회피 기법
  • 웹사이트 템플릿은 브랜드 클론 생성 기능 포함 (Darcula 플랫폼 기술 공유)
  • IP 기반 접근 제어, User-Agent 필터링, URL 시간제한 등 정교한 탐지 회피 기능 내장
  • Webman PHP 기반 백엔드 패널을 통한 수집 데이터 관리
• 생태계 및 인프라
  • 신신 그룹은 Lucid 외에 Lighthouse, Darcula 등 유사 PhaaS 서비스 다수 운영
  • Telegram을 통해 구독형 판매 및 악성 템플릿 공유
  • 탈취된 전화번호 리스트는 다크웹 유출 데이터 및 포럼 구매를 통해 확보
• 보안 권고
  • iMessage 및 RCS를 통한 링크 기반 메시지 수신 시 클릭 자제 및 출처 확인 필수
  • 단말기에서는 OS 최신 업데이트 적용 및 보안 기능 활성화 권고
  • 기업 보안 관점에서는 피싱 탐지 솔루션, 모바일 위협 대응(MTD) 도입 고려
  • 통신사 및 메신저 플랫폼 수준의 발신자 인증 강화, 메시지 콘텐츠 필터링 필요
  • 피싱 URL 탐지를 위한 도메인 평판 기반 필터링 및 머신러닝 기반 행위 분석 강화 필요
• 결론
  • 암호화 기반 메시지(iMessage, RCS)의 확산이 새로운 피싱 수단으로 악용될 수 있음
  • PhaaS 시장이 구독 기반 플랫폼화되며 공격의 규모와 정교함이 빠르게 진화 중
  • 개인 사용자부터 금융기관에 이르기까지 전방위적인 대응 체계 및 보안 인식 제고 필요