구글 플레이에서 뱅킹 트로이목마와 수상한 앱들 다수 발견 돼

Banking Trojans and Shady Apps Galore In Google Play

구글이 안드로이드의 공식 스토어를 보호하기 위해 많은 보안 장치를 해 두었음에도, 보안 연구원들이 또다시 악성 앱 3개를 발견했습니다.

최근 유럽의 여러 보안 업체들이 구글 플레이에서 뱅킹 트로이목마를 발견했다고 트위터에서 밝힌 적 있습니다.

ESET의 연구원인 Lukas Spefanko는 별자리 운세앱으로 위장한 악성 앱 3개를 발견했다고 밝혔습니다. 

이 앱들은 SMS와 전화 기록을 탈취하고, 피해자의 이름으로 텍스트 메시지를 보내고, 사용자 허가 없이 앱을 다운로드 및 설치 하고, 금융계정을 훔치는 것으로 나타났습니다.

Stefanko는 이를 구글에 제보했으며, 구글은 스토어에서 이 앱들을 삭제했습니다. 삭제 당시, 한 앱은 1,000회 이상 다운로드 되었으며 다른 두 앱은 500회 이상 다운로드 되었습니다.

Stefanko가 발견한 앱 중, 코드에 herobot이라는 이름이 포함되어 있던 한 앱은 호환에 문제가 있어 제거되었다는 가짜 경고를 표시한다고 밝혔습니다. 하지만 실제로는 기기에 남아 백그라운드에서 동작하였습니다. 실제로 연구원이 이 악성앱을 발견하여 트위터에 공개할때 까지도 C&C 서버가 살아있었다고 밝혔습니다.

중요한 점은, Stefanko가 발견한 이 트로이목마 앱 3개 모두 낮은 탐지율을 보였다는 사실입니다. 이 글을 쓰고 있는 현재, VirusTotal 확인 결과 가장 높은 탐지율을 기록한 앱이 안티바이러스 제품 60개들 중 12개가 탐지하며, 가장 낮은 탐지율을 기록한 앱은 탐지한 안티바이러스 제품이 6개밖에 없었습니다.

안드로이드 마켓 스토어에서 뱅킹 트로이목마를 발견해 제보한 사람은 Stefanko만이 아닙니다. 지난 8월 29일, Avast의 연구원도 이달 초부터 동일한 유형의 악성코드를 배포하는 캠페인에 대해 트윗해왔습니다.

그는 모바일 기기의 성능을 향상시키는 앱으로 위장한 뱅킹 트로이목마 5개 이상을 발견했습니다.

주위에 숨어있는 또 다른 위협들

Stefanko는 애드웨어, 스파이웨어, 트랙웨어 등 사용자의 프라이버시를 위협하는 또 다른 앱들의 예를 보여줬습니다. 이들 중 일부는 현재까지 수 천만번 이상 설치 되었습니다.

이 연구원은 VPN 서비스를 제공하는 Protect Your Data라는 앱이 수천만 회 이상 설치 되었다고 밝혔습니다. 이는 트래픽을 숨기는 대신 앱에서 수집한 것으로 드러났습니다.

<이미지 출처 : https://www.bleepingcomputer.com/news/security/banking-trojans-and-shady-apps-galore-in-google-play/>

15초 마다 위치를 누출하는 앱

Stefanko가 공개한 또 다른 앱은 “Transparent clock and weather”로, 사용자의 위치를 순수 텍스트 형태로 15초마다 공개했습니다.

분석 결과, 공격자는 사용자의 위치를 정확한 경도/위도 정보로 수집하지는 않았지만, 사용자가 이동하는 모든 곳을 알 수 있는 데이터에 접근했습니다.

또한 최근 Dr.Web의 보안 연구원 2명은 악성앱 127개를 발견했다고 밝혔습니다. 이들의 총 다운로드 수는 10,000회 이상을 기록했습니다. 현재는 스토어에서 삭제 된 상태입니다.

BleepingComputer는 구글에 이에 대한 입장을 요청했지만, 아직까지 아무런 답변을 받을 수 없었습니다.

현재 알약M에서는 해당 악성앱들에 대해 Trojan.Android.Banker로 탐지중에 있습니다. 

출처 :

https://www.bleepingcomputer.com/news/security/banking-trojans-and-shady-apps-galore-in-google-play/