구글, 플레이 스토어에서 가장 큰 애드웨어 패밀리 제거해

구글, 플레이 스토어에서 가장 큰 애드웨어 패밀리 제거해

Google Kicks Out Largest Android Adware Family From The Play Store

구글이 최근 공식 플레이 스토어에서 대량의 사기성 광고 봇넷 패밀리를 발견하였습니다. 

Chamois라 명명 된 이 PHAs(국내에서는 PUA, PUP라고도 부름) 패밀리는 사용자들에게 대량의 팝업광고를 띄우며, 백그라운드에서 자동으로 다른 앱들을 설치하며 추가 플러그인을 다운로드 하며, 텍스트 메시지를 보내 유료 서비스에 가입할 수 있습니다.

구글의 엔지니어들은 정기적인 광고 트래픽 품질 평가를 진행 중 의심스러운 광고 트래픽을 발견해 Chamois를 탐지해 낼 수 있었습니다.

이 앱들은 탐지를 피하기 위해 난독화 및 안티 디버깅 기술들을 사용하였습니다. 

악성코드가 포함 된 이 앱들의 최종 목적은, 구글의 탐지 및 차단 시스템을 우회하여 광고 사기를 통해 수익을 창출하는 것으로 추정됩니다. 

구글의 보안 소프트 엔지니어는 블로그에서 “Chamois를 기반으로 한 악성 앱들을 분석한 결과, 구글의 탐지를 우회하여 사용자들이 사기 광고를 클릭하도록 속이는 기술들 몇 개를 발견했다.” “이는 종종 SMS 사기를 저지르는 다른 앱이 다운로드 되는 결과로 이어지기도 한다. 따라서 우리는 Verify Apps를 사용해 Chamois 앱 패밀리와 공격자를 차단했다”고 밝혔습니다.

Chamois 앱들은 설정 파일과 추가 코드를 위한 커스텀 암호화 스토리지를 사용하는 등 다단계 페이로드 구조로 되어 있었어 분석의 난이도를 높였습니다.

<이미지 출처 : http://thehackernews.com/2017/03/android-adware-malware-google.html>

구글 보안팀은 Chamois 앱을 정확히 파악하기 위하여 전문 개발자가 작성한 것으로 보이는 정교한 코드 10만 줄 이상을 분석했습니다.

현재 구글은 Verify Apps을 사용하여 해당 앱들을 차단하였으며, 애드웨어 앱의 제작자도 함께 차단하였습니다. 또한 Chamois와 관련된 위협들을 탐지해 낼 수 있도록 앱 테스트 시스템을 업데이트 하였습니다. 

참고 :

http://thehackernews.com/2017/03/android-adware-malware-google.html

https://android-developers.googleblog.com/2017/03/detecting-and-eliminating-chamois-fraud.html