구글, 플레이스토어에서 악성 Terracotta 앱 다수 제거

Google removed malicious Terracotta apps from the Play Store

 

보안 회사인 White Ops의 연구원들이 공식 플레이스토어 내에서 광고를 포함한 페이지를 로드하여 광고 사기를 저지르기 위해 숨겨진 브라우저를 설치하는 안드로이드 앱 다수를 발견했습니다.

 

회사는 발견한 내용을 구글에 제보했으며 구글은 재빠르게 대응하여 구글 플레이스토어에서 안드로이드 앱을 제거했습니다. 제거한 앱의 수는 알려지지 않았습니다.

 

구글에 따르면 이 앱은 TerraCotta 광고 사기 봇넷의 일부로 추정됩니다.

 

해당 보안 연구 팀은 2019년 말부터 Terracotta 봇넷을 추적해오고 있었습니다.

 

Terracotta 운영자는 구글 플레이스토어에 앱을 업로드 했으며 기기에 앱을 설치할 경우 사용자에게 무료로 상품을(쿠폰, 신발, 티켓 등) 주겠다고 광고했습니다.

 

“TerraCotta 악성코드는 사용자에게 앱을 다운로드하는 대가로 무료 상품을 제공하겠다고 광고했습니다. 하지만 사용자들은 이를 전혀 받지 못했습니다.”

“앱이 설치되고 악성코드가 활성화되면 이는 정식 안드로이드 앱에서 노출된 것으로 위장한 가짜 광고 노출을 발생시킵니다.”

 

이 캠페인은 2020년 6월 한 주 동안 20억 이상의 사기 입찰 요청을 생성했으며 악성코드는 기기 약 약 65,000대 이상을 감염시켰으며 앱 5,000개 이상을 스푸핑했습니다.

 

이 앱은 사용자에게 무료 제품을 받으려면 2주를 기다려야 한다고 속였으며 그 동안 백그라운드에서 동작했습니다.

 

이 악성 앱은 은밀한 방식으로 조작된 WebView를 다운로드 및 실행했습니다. 해당 브라우저는 광고를 로드하고 실제 사람에게 노출된 것이 아닌 가짜 광고 노출을 발생 시켜 광고 수익을 얻는데 사용되었습니다.

 

 

<TERRACOTTA 봇넷>

<이미지 출처: https://www.whiteops.com/blog/terracotta-android-malware-a-technical-study>

 

 

WhiteOps 연구원들에 따르면 Terracotta 봇넷은 탐지를 피하기 위해 고급 기술을 사용했습니다.

 

전문가들은 구글이 플레이스토어에서 앱 다수를 제거했지만 일부 기기는 여전히 감염된 상태로 보인다고 밝혔습니다. 구글은 해당 악성 앱을 모든 사용자의 기기에서 비활성화했습니다.

 

구글은 아래와 같이 밝혔습니다.

“TerraCotta의 광고 사기 공격을 조사하는 White Ops와의 협업 덕분에 이 케이스를 이전에 발견된 모바일 앱 세트와 연결 시켜 추가 악성 앱을 식별할 수 있었습니다. 이를 통해 사용자, 광고주 및 더욱 넓은 생태계를 보호하기 위한 빠른 조치를 취할 수 있었습니다.”

 

 

 

 

출처:

https://securityaffairs.co/wordpress/107722/malware/malicious-terracotta-apps.html

https://www.whiteops.com/blog/terracotta-android-malware-a-technical-study