악성 안드로이드 앱, 구글 보안 스캔을 우회하기 위해 사기 코드 비활성화

Malicious Android apps deactivated fraud code to bypass Google's security scans

구글이 최근 플레이 스토어에서 악성 안드로이드 애플리케이션 다수를 제거했습니다. 

이 악성 앱들은 안드로이드 스마트폰에서 광고를 표시하고 브라우저 리디렉션을 수행한 것으로 나타났습니다.

이 악성 앱을 발견하여 구글에 제보한 White Ops 측은 이 앱이 모두 동일한 범죄 그룹이 개발한 것으로 보인다고 밝혔습니다.

연구원들은 이 그룹이 사용자에게 광고를 표시하기 위해 안드로이드 앱 최소 38개를 생성했으며 최근 생성된 앱은 소스코드 내에서 악성 애드웨어 기능을 비활성화하도록 수정된 것으로 보인다고 밝혔습니다. 

이는 앱 등록 및 승인 과정에서 구글 플레이 스토어의 보안 스캔을 우회하기 위한 것으로 추측됩니다.

2019년 1월 활동 시작해

White Ops는 이 그룹이 2019년 1월부터 공식 구글 플레이스토어에 앱을 업로드하여 활동을 시작했다고 밝혔습니다. 

이 작업을 통해 악성 앱 총 38개 중 21개가 플레이스토어에 업로드되었습니다.

이 앱은 모두 셀카 촬영, 사용자 사진에 다양한 필터 적용 등 미용과 관련된 주제를 사용했습니다. 

하지만 앱이 설치되면 사용자는 광고 폭탄을 맞게 되며 온라인 광고가 표시되는 브라우저가 오픈되며 앱 아이콘을 숨겨 사용자가 앱을 제거할 수 없도록 합니다.

하지만 이 앱은 그리 정교하지는 않았습니다. 구글의 초기 리뷰를 통과한 후에는 결국 악의적인 것으로 탐지되었습니다.

White Ops는 이 앱들이 스토어에서 제거되기 전 평균 17일 동안 게시된 상태였다고 밝혔습니다.

 

<이미지 출처: https://www.whiteops.com/blog/beauty-and-the-fraud-beast>

하지만 17일간의 짧은 기간에도 불구하고 이 앱 중 대부분은 평균 설치 수 565,833건을 기록했습니다.

지난 가을 전술 변경돼

하지만 그들이 초기에 등록한 앱을 구글이 지속적으로 차단하자 이들은 전술을 변경하기 시작했습니다. 

2029년 9월, 이 그룹은 앱의 광고 폭탄 코드를 숨기기 위한 2가지 방법을 채택했습니다.

첫 번째는 앱의 소스코드 내 다양한 위치에 아랍어 문자를 사용하는 것입니다. 

이 아이디어는 영어 대신 아랍어 문자열을 사용해 구글의 리버스 엔지니어가 악성 기능을 발견하는 것을 방지하기 위한 것입니다.

두 번째는 악성코드를 완전히 제거하는 것입니다. 2019년 9월 이후로 이 그룹은 악성 광고 폭탄 기능을 비활성화한 뷰티 앱 15개를 업로드하느라 바빴습니다.

연구원들은 이 앱은 “기술적으로” 깨끗하고 합법적인 상태이지만 공격자가 언제든 이 앱을 업데이트를 통해 악성코드를 추가할 수 있다고 설명했습니다.

하지만 이 앱은 알려진 공격자가 게시한 것이기 때문에 구글은 보안상의 이유로 이들을 제거했습니다.

White Ops에 따르면 2019년 1월 그룹이 활동을 시작한 이후 악성 앱 38개는 2천만회 이상 다운로드되었습니다. 

다른 안드로이드 애드웨어 변종과 비교했을 때 그다지 정교하지 않음에도 꽤 많은 피해자가 발생했습니다.

악성 앱 목록은 PDF 파일에서 확인하실 수 있습니다. White Ops의 보고서에서 더욱 자세한 내용을 확인하실 수 있습니다.

현재 알약에서는 해당 악성 샘플에 대해 'Adware.Android.Agent'으로 탐지 중에 있습니다.

출처:

https://www.zdnet.com/article/malicious-android-apps-deactivated-fraud-code-to-bypass-googles-security-scans/

https://www.whiteops.com/blog/beauty-and-the-fraud-beast