보안툴로 위장한 악성앱, 사용자 위치 추적 및 불법으로 광고 띄워

2017년 12월 초, 구글 플레이에서 사용자가 의도하지 않은 작업을 실행하는 36개의 악성앱이 발견되었습니다. 

이 앱들은 Security Defender, Security Keeper, Smart Security, Advanced Boost 등 스캐닝, 정크 클리닝, 배터리 절약, CPU 쿨링, 앱 잠금, 메시지 보안, WiFi 보안 등 여러 기능이 포함된 휴대폰 관리 앱으로 위장하여 유포되었습니다. 

<이미지 출처 : http://blog.trendmicro.com/trendlabs-security-intelligence/apps-disguised-security-tools-bombard-users-ads-track-users-location/>

앱들은 실제로 이러한 기능을 수행하는 동시에 사용자 정보, 사용자 위치 정보 등을 비밀리에 수집하여 다량의 광고를 띄웠습니다. 

공격분석

악성앱 설치 후 기기를 실행하면, 처음에는 목록에도, 바탕 화면에도 해당 앱이 보이지 않습니다. 앱이 숨겨져 있기 때문에, 사용자는 앱에서 전송하는 알림만 볼 수 있는 것입니다. 이 알림들은 주로 보안경고 혹은 팝업창이 주를 이룹니다. 

앱이 실행되면 사용자는 앱에서 띄우는 팝업창으로 불편함을 겪게 됩니다. 해당 악성앱을 분석해본 결과, 앱에서 띄우는 경고 팝업들은 대부분 거짓으로 나타났습니다. 예를들어 

예를 들어, 사용자가 다른 앱을 설치하면, 즉시 의심스러운 앱이라고 경고하는 식입니다. 혹은 “10GB의 파일이 낭비되고 있다”며 일련의 작업을 수행해야 하는 것처럼 경고 팝업창을 띄우지만, 이러한 메세지는 사실이 아닌 것입니다. 

이 악성앱 개발자는 사용자가 해당 앱을 신뢰하도록, 간단한 애니메이션 들을 구현해 놓았으며, 사용자들은 해당 앱이 정상동작 한다고 생각하며 삭제하지 않게 됩니다. 

하지만 앱이 이러한 알림을 전송할 때 공격자에게 특정 위치 정보를 포함한 피해자의 개인 정보를 수집하여 원격 서버로 전송할 수 있습니다.

해당 앱을 실행하면 사용자에게 알림 메시지를 퍼붓는 동시에 다수의 광고창이 뜨는데, 이렇게 광고를 띄우는 데에는 여러 방법이 사용됩니다. 

예를 들어 잠금 화면을 해제하기 위한 알림을 보낸 후에 광고를 내보내거나 사용자가 충전기 연결 안내를 받은 경우 광고를 내보내기도 합니다. 사용자가 앱을 통해 작업을 수행할 때마다 이러한 공격에 노출됩니다.

사용자는 앱 설치 시 개인정보 수집에 동의하라는 요청을 받습니다. 그러나 해당 앱 기능과 관련 없는 개인 정보를 수집 및 전달하는 것은 분명한 개인정보 침해입니다.

해당 앱은 개인 정보, 설치된 앱 정보, 첨부파일, 사용자 동작 정보, 활성화된 이벤트 정보 등을 원격 서버에 업로드합니다. 또한 안드로이드 ID, Mac 주소, IMSI(International Mobile Subscriber Identity), OS 정보, 기기 브랜드 및 모델명, 기기가 지원하는 언어, 위치 정보, 구글플레이와 페이스북과 같이 설치된 앱에 저장된 정보 등도 수집합니다. 또한 사용 통계, 접근성, 읽기 알림창 등의 정보도 포함됩니다.

현재 알약에서는 해당 악성앱에 대하여 Misc.Android.Riskware로 탐지중에 있습니다. 

출처 : 

http://blog.trendmicro.com/trendlabs-security-intelligence/apps-disguised-security-tools-bombard-users-ads-track-users-location/