포스팅 내용

국내외 보안동향

게임, TV, 원격 제어 앱으로 위장한 애드웨어, 900만 구글 플레이 사용자들 감염 시켜

Adware Disguised as Game, TV, Remote Control Apps Infect 9 Million Google Play Users


구글 플레이 스토어에서 85개의 게임, TV, 원격 제어 시뮬레이터 앱으로 위장하여 활발히 활동 중인 애드웨어 패밀리가 발견 되었습니다.


이 애드웨어는 풀 스크린 광고를 표시하고, 자신을 숨기고, 기기의 스크린 잠금 해제 기능을 모니터링하고, 모바일 기기의 백그라운드에서 실행될 수 있습니다.


이 85개의 가짜 앱들은 전 세계에서 총 900만회 다운로드 되었습니다. 구글은 관련 제보를 받은 후 가짜 앱들을 플레이 스토어에서 재빨리 제거했습니다.


85개 앱들 중 가장 많은 다운로드를 기록한 앱은 “Easy Universal TV Remote”로, 이 앱을 통해 스마트폰으로 TV를 제어할 수 있다고 주장하고 있습니다.


이 가짜 앱은 500만 회 이상 다운로드 되었으며, 많은 컴플레인을 받았습니다.


행동 분석


이 애드웨어 패밀리와 관련 된 가짜 앱들을 테스트해본 결과, 이는 서로 다른 개발자가 개발한 것으로 등록되었고, 다른 APK 인증 공개 키를 가지고 있으며, 유사한 동작을 보이고, 동일한 코드를 공유한다는 것을 발견했습니다.


이 애드웨어가 모바일 기기에서 다운로드 및 실행 되면, 전체 화면 광고가 처음 팝업 됩니다.


첫 번째 광고를 닫으면 배너 광고가 표시 되며 “start”, “open app”, “next”와 같은 버튼에 응답을 요구합니다. 이 버튼을 클릭하면 또 다른 전체 화면 광고가 표시 됩니다.


사용자가 이 전체 화면 광고를 끄면, 더 많은 앱 관련 버튼들이 나타납니다. 사용자에게 구글 플레이에서 앱 평가에 별 5개를 주도록 요구하기도 합니다. 사용자가 이 중 아무 버튼이나 클릭하면 또 다시 전체 화면 광고가 표시 됩니다.


그 후, 앱은 로딩 또는 버퍼링 중이라는 메시지를 표시합니다. 하지만 몇 초 후 앱은 사용자의 화면에서 사라지고 기기에서 자신의 아이콘을 숨깁니다. 하지만 이 가짜 앱은 백그라운드에서 여전히 실행 됩니다. 숨어 있는 상태에서도 이 앱은 매 15분, 또는 30분마다 전체 화면 광고를 표시합니다.


이 가짜앱들 중일부는 사용자가 화면 잠금 해제하기를 기다렸다가, 사용자가 모바일 기기의 화면 잠금을 해제하자 마자 전체 화면 광고를 표시했습니다.


이 가짜 앱은 기기의 앱 언인스톨 기능을 통해 수동으로 제거할 수 있지만, 풀 스크린 광고가 매 15분 또는 30분마다, 또는 화면을 언락할 때 마다 표시 될 경우 어려울 수 있습니다.

 

현재 알약 M에서는 해당 악성앱들에 대해 Trojan.Android.FakeApp으로 탐지중에 있습니다. 



출처 : 

https://securityaffairs.co/wordpress/79595/hacking/titan-manufacturing-security-breach.html



티스토리 방명록 작성
name password homepage