베트남의 한 대학생이 개발한 애드웨어 42개, 플레이 스토어에서 800만회 이상 다운로드 돼

42 Adware Apps with 8 Million Downloads Traced Back to Vietnamese Student

사이버 보안 연구원들이 구글 플레이 스토어에서 초기에는 합법적인 어플리케이션으로 배포 되지만, 악성 전체화면 광고를 표시하도록 업데이트 되는 애드웨어 앱 42개를 발견했습니다. 이 앱들은 총 800만 회 이상 다운로드 되었습니다.

ESET의 보안 연구원인 Lukas Stefanko가 발견한 이 애드웨어 안드로이드 어플리케이션은 베트남의 한 대학생이 개발한 것으로 나타났습니다. 그는 자신의 정체성을 숨기려는 시도를 전혀 하지 않아 쉽게 추적할 수 있었습니다.

이 애드웨어 앱과 관련 된 도메인의 공개 등록 정보에는 해당 개발자의 실제 이름, 주소, 전화번호가 포함 되었기 때문에, 그의 Facebook, GitHub, YouTube 악성 개발자의 신원을 쉽게 찾을 수 있었습니다.

"개발자가 그의 신상을 숨기기 위한 아무런 조치를 취하지 않은 것으로 보아, 처음부터 악성 행위를 할 의도는 없었던 것으로 추측 됩니다."

"하지만 구글 플레이에서 얼마간 활동한 후, 그는 앱 코드에 애드웨어 기능을 추가해 광고 수익을 올리기로 결심한 것으로 보입니다."

Radio FM, 비디오 다운로더, 게임 등 애드웨어 앱 42개는 모두 광고에서 약속한 기능을 실제로 제공합니다. 따라서 사용자들은 악성 앱을 발견하거나 의심스러운 점을 찾아내기 어려웠을 것입니다.

은신 및 복원을 위한 애드웨어의 트릭

"Ashas" 애드웨어 패밀리라 명명 된 이 악성 컴포넌트는 개발자가 운영하는 원격 C&C 서버에 연결해 애드웨어 앱이 설치 된 안드로이드 기기에 대한 기본 정보를 자동으로 보냅니다.

<이미지 출처 : https://www.welivesecurity.com/2019/10/24/tracking-down-developer-android-adware/>

이후 이 앱은 공격자가 선택한 광고를 표시하고 은신 및 복원을 위한 여러 트릭을 적용하기 위한 구성 데이터를 C&C 서버로부터 수신합니다.

구글 플레이 보안 메커니즘으로부터 악성 행위를 숨기기 위해 이 앱은 먼저 감염 된 기기의 IP 주소를 확인합니다. 이 IP가 구글 서버로 알려진 IP 범위 내에 포함 될 경우, 앱은 애드웨어 페이로드를 트리거링 하지 않을 것입니다.

사용자들이 원치 않는 광고의 원인으로 해당 앱을 즉시 지목하지 못하도록 하기 위해, 개발자는 앱 설치 후 광고를 표시하기 전까지 얼마간의 딜레이를 설정할 수 있는 기능을 추가했습니다.

게다가, 이 앱은 안드로이드 폰의 메뉴에서 아이콘을 숨기고 언인스톨을 막을 심산으로 바로가기를 생성합니다.

"일반적인 사용자가 이 악성 앱을 제거하려 시도할 경우, 바로가기만 제거 될 가능성이 큽니다. 이후 이 앱은 사용자 모르게 백그라운드에서 계속 실행 될 것입니다."

사용자가 광고를 표시하는 앱을 알아내기 위해 "최근 앱" 버튼을 누를 경우, 이 애드웨어 패밀리는 의심을 피하기 위해 페이스북이나 구글 아이콘을 표시합니다. 따라서 사용자들은 정식 앱이 광고를 표시하는 것으로 착각할 수 있습니다.

해당 연구원은 이 애드웨어가 제공하는 광고의 종류에 대해 자세히 설명하지는 않았지만, 일반적으로 애드웨어는 감염 된 기기에 사기, 악성 피싱 웹사이트로 이어지는 광고를 마구 퍼붓습니다.

연구원은 구글 보안 팀에 이를 제보하고, 구글은 문제의 앱을 플레이 스토어 플랫폼에서 제거하였습니다.

하지만 위 앱들을 다운로드 한 사용자라면, 기기 설정에서 앱을 당장 제거하시기 바랍니다.

이 악성 개발자는 애플의 앱 스토어에도 앱 몇 개가 등록했기 때문에, 애플 사용자도 기기를 확인할 것을 권장합니다. 이 앱들은 아직까지는 애드웨어 기능을 포함하지 않은 것으로 나타났습니다.

현재 알약 M에서는 해당 악성앱에 대해 Adware.Android.Agent로 탐지중에 있습니다. 

출처 :

https://thehackernews.com/2019/10/42-adware-apps-with-8-million-downloads.html

https://www.welivesecurity.com/2019/10/24/tracking-down-developer-android-adware/