뱅킹앱을 켠다. 로그인 화면이 뜬다. 비밀번호를 입력하고 확인을 누른다. 그런데 그 로그인 화면은 진짜가 아니다. 뱅킹앱 위에 똑같이 생긴 가짜 화면이 덮여 있었고, 입력한 크레덴셜은 공격자한테 갔다.Android 16에서 이 공격의 핵심을 끊는 새 플래그가 나왔다. accessibilityDataSensitive. 코드 한 줄이면 적용된다. 오버레이 자체를 막는 건 아니고, 멀웨어가 접근성 서비스로 화면 데이터를 빼가는 걸 차단한다. 어떤 구조인지, 왜 지금 나온 건지 정리한다.원문: Enhancing Android security: Stop malware from snooping on your app data기술 가이드: Tapjacking — Android Developers오버레이 공격, 아직도 ..