전기전자/정보통신

Nikkei Computer_2025.9.4 (p98)

스마트폰 앱 화면을 '투명'하게
위험한 조작으로 유도하는 새로운 수법

유저는 스마트폰 화면에 보이는 앱이 현재 자신이 조작하고 있는 앱이라고 당연히 생각할 것이다. 그러나 그 상식을 깨는 새로운 공격 기법이 밝혀졌다. 유저가 조작하고 있는 앱과는 다른 앱의 화면을 표시하게 만든다는 것이다.

이로 인해 공격자가 의도한 위험한 조작을 하도록 유저를 유도할 수 있다. 예를 들면, 카메라나 마이크, 위치정보 등에 대한 접근을 유저가 모르는 사이에 허용하게 만들 수 있다. 기기를 초기화하도록 유도하는 것도 가능하다고 한다.

이 공격 기법은 오스트리아 빈공과대학 등의 연구자 그룹이 고안했으며, ‘TapTrap’이라고 이름 붙였다. TapTrap의 대상은 Android 스마트폰뿐이며, iPhone 등은 영향을 받지 않는다.


-- 앱 전환 시의 애니메이션을 악용 --
Android에서는 앱(앱A)이 다른 앱(앱B)을 호출할 때, 페이드인 등 임의의 애니메이션을 표시할 수 있다. 이 애니메이션은 호출하는 쪽 앱A가 지정할 수 있다.

그래서 앱B의 화면을 투명하게 보이도록 하는 애니메이션을 사용한다. 그러면 유저에게는 앱A의 화면이 표시된 것처럼 보이지만, 실제로는 앱B가 Foreground 상태가 되면서 유저의 터치 이벤트 등을 처리하게 된다. 즉 앱A의 화면을 교묘하게 꾸미면 유저가 앱B를 공격자의 의도대로 조작하도록 만들 수 있다. 그리고 애니메이션이 끝나고 앱B가 표시되기 전에 앱A가 스스로 다시 기동하여 B를 백그라운드로 이동시킨다.

연구자 그룹은 TapTrap의 데모로서, 화면에 표시된 벌레를 탭하는 앱을 개발했다. 이 앱을 실행하면 TapTrap에 의해 다른 앱이 투명하게 표시된다. 공격자는 벌레의 출현 위치를 조정함으로써 유저가 의도한 장소를 탭하도록 유도할 수 있다. 유저는 게임에 표시된 벌레를 탭했다고 생각하지만, 실제로는 뒤에서 기동된 앱의 설정 화면 등을 탭하게 되는 것이다.

데모에서는 Chrome의 설정 화면을 투명하게 하여, 유저가 모르는 사이에 웹사이트의 카메라 접근을 허용하게 만들었다. 데모 앱을 사용한 실험에 참여한 피험자 20명은 허용했다는 사실을 거의 알아채지 못했다고 한다. 이 실험을 통해 연구자 그룹은 TapTrap의 스텔스성이 매우 높아 유저에 대한 위험이 있다고 결론지었다.

TapTrap에 취약한 앱은 얼마나 존재할까? 연구자 그룹은 Google Play에 있는 99,705건의 앱을 분석했다. 그 결과 약 76%에 해당하는 76,035건이 취약한 것으로 나타났다. 여기에는 Chrome이나 Firefox와 같은 주요 브라우저도 포함되어 있다.

또한 99,705건 중에서 실제로 TapTrap을 사용하고 있는 앱이 존재하는지도 조사했다. 그 결과, 현시점에서는 한 건도 발견되지 않았다고 한다. 연구자 그룹은 “TapTrap이 현재 악용되고 있다는 증거는 발견되지 않았다”라고 논문에 기술했다.

교묘하게 고안된 TapTrap. 공격 자체를 눈치채기가 어려워 보인다. 유저가 취할 수 있는 대책은 결국 ‘신뢰할 수 없는 앱은 설치하지 않는 것’이다.

 -- 끝 –

Copyright © 2025 [Nikkei Computer] / Nikkei Business Publications, Inc. All rights reserved.
 

Nikkei Computer_2025.9.4 목차

이노베이션 워치
・윤리 추론 모델의 껍질을 깨는 새로운 방식

IT가 위험하다
・해저 케이블이 부족하다, 부설 지연으로 보틀넥의 우려

특집
・다음 30년을 의지할 수 있는 존재로
・[Part 1] 9개 부문 선두 교체, 연패는 8개 부문
・[Part 2] 총 19개 부문 랭킹
・[Part 3] 저명한 CIO들이 직언, 선정되는 3개조
・[Part 4] 조사 결과는 시대의 거울, 역대 1위를 일거 게재

포커스
인터넷 증권 15개사를 긴급조사
부정 매매 5700억 엔, 계좌 탈취 대책의 실태

인터뷰
휴고 사라진(Hugo Sarrazin) 씨, 미국 Udemy의 CEO
AI 활용해 학습 콘텐츠를 다양화, 일본의 노동 유동성을 지원

뉴스 & 리포트
・미국 오픈 AI, 새 모델 GPT-5 발표 -- ‘박사학위 수준’이라는 알트만 CEO
・현장 작업의 운영 노하우에 대답하는 AI -- JERA가 구현, 열쇠는 '선택과 집중'
・대기업 4사 4~6월기, NTT 데이터 그룹은 이익 감소 -- 해외는 환율이나 트럼프 관세로 고전
・일본정공이 품질 트러블 정보를 가시화 -- 생성형 AI는 요약에 특화
・캡콤(CAPCOM) '몬스터 헌터'에서 TiDB 도입 -- 500만명 규모의 부하 시험에 견디다
・경기 프로그램으로 세계 2위 -- 오픈 AI의 AI가 인간 다음으로 좋은 성적
・au 스마트폰과 위성의 직접 통신을 개선 -- KDDI, 권외 시간을 4분의 1로 단축

난반사
AI 수요에 힘입어 매출액은 14% 증가 -- 대기업 19사의 2025년 4~6월 결산

데이터는 말한다
첨단 IT 인재가 중시하는 스킬 – ‘전략 입안・시스템 최적화’가 최다

케이스 스터디
[이화학연구소(RIKEN)]
‘후가쿠(富岳)’의 기간 네트워크를 쇄신 -- 가용성 향상과 운용 비용 감소를 양립

AI 리더스
스즈키 다카오(鈴木 貴雄) 씨, 주가이제약 참여 디지털 트랜스포메이션 유닛장
신약 개발 연구 등에서 가치 창출

연재
결산 조사에서 판명, 사이버 피해 52사의 현실
10개사가 사이버보험으로 손실경감 – 보험금이 억엔 대의 사례도

AI 에이전트 활용 최전선, 기대와 과제
도요타・사이버・메이지야스다 성과 -- AI 에이전트 도입에 3가지 열쇠

사장의 의문에 답하는 IT 전문가의 대화술
사장은 나아갈 방향을 제시하고 변혁에 주력 -- 미래의 주역은 풀어주고 육성한다

키워드
Wings II

오피니언
극언정론
일본 기업의 IT의 ‘숨겨진 큰 문제’ – 노후 시스템을 쇄신하지 못하는 이유

모바일 일도양단
역시 가격 파괴밖에 없는 것인가 – 로컬 5G의 비약에 필요한 것

나카타 아쓰시의 GAFA 깊이 읽기
애플이 대형 M&A 모색 – 매수 후보는 유력 스타트업 기업인가?

오모리 도시유키의 프로그래밍으로 가자
‘고생하는 것’이 목적? – 프로그래밍 학습의 함정

가쓰무라 유키히로의 '오늘도 누군가를 노린다'
스마트폰 앱의 화면을 ‘투명’하게 – 위험한 조작으로 유도하는 새 수법

 -- 끝 --

Copyright © 2025 [Nikkei Computer] / Nikkei Business Publications, Inc. All rights reserved.