상세 컨텐츠

본문 제목

1월부터 구글 플레이 스토어에 숨어있었던 안드로이드 트로이목마 발견돼

국내외 보안동향

by 알약4 2022. 3. 16. 09:00

본문

Android trojan persists on the Google Play Store since January

 

모바일 앱 생태계를 연구하는 보안 연구원들이 최근 구글 플레이 스토어에 침입한 트로이 목마가 급증한 것을 발견했습니다. 이 앱 중 하나는 500,000회 이상 설치되었으며 아직까지 다운로드가 가능했습니다.

 

이러한 앱 중 대부분은 폭넓은 사기에 사용되는 트로이 목마 악성코드로, 금전 및 개인 민감 정보를 탈취할 수 있습니다.

 

또한 WhatsApp mod로 빌드된 새로운 안드로이드 트로이 목마가 소셜 미디어 게시물, 포럼, SEO 포이즈닝을 통해 홍보된 악성 웹사이트를 통해 유포되어 실제 공격에 사용된 것이 발견되었습니다.

 

플레이 스토어에 트로이 목마 다수 등록돼

 

Dr. Web의 분석가는 플레이 스토어에서 가상화폐 관리 앱, 사회 복지 지원 툴, Gasprom 투자 클론, 포토 에디터, iOS 15 테마 런처 등의 악성 앱을 발견했습니다.

 

 

<이미지 출처 : https://news.drweb.com/show/review/?i=14434&lng=en>

<가짜 Gasprom 투자 툴>

 

 

대부분의 가짜 투자 앱은 피해자에게 새 계정을 만들고 거래용 자금을 예치하도록 유도합니다. 하지만 해당 계좌는 사기꾼의 은행 계좌로 전환될 것입니다. 다른 앱들은 사용자를 비싼 유료 서비스를 구독하도록 속이려 시도합니다.

 

Dr. Web이 보고한 앱 중 대부분은 플레이스토어에서 삭제되었기 때문에, 현재로서는 얼마나 많이 다운로드 되었는지 확인할 수 없습니다.

 

Bleeping Computer에서는 아직까지 플레이 스토어에 남아 있었던 ‘Top Navigation’을 발견했으며, 해당 앱은 500,000회 이상 설치된 것으로 나타났습니다.

 

 

&lt;이미지 출처 : https://news.drweb.com/show/review/?i=14434&amp;lng=en&gt;

<플레이 스토어에서 여전히 다운로드 가능한 가짜 네비게이션 앱>

 

 

해당 앱의 개발자인 Tsaregorotseva를 추적한 결과, 플레이 스토어에서 100,000회 이상 다운로드된 또 다른 앱인 ‘Advice Photo Power’를 발견했습니다.

 

 

&lt;이미지 출처 : https://news.drweb.com/show/review/?i=14434&amp;lng=en&gt;

<플레이 스토어에서 다운로드 가능한 잠재적 사기 앱>

 

  

해당 앱의 사용자 리뷰를 확인 결과 구독 사기와 관련된 내용이 발견되었습니다. 이들은 인증이나 광고 제거를 위해 주당 2달러를 청구하지만 약속된 기능을 제공하지 않은 것으로 나타났습니다.

 

 

&lt;이미지 출처 : https://news.drweb.com/show/review/?i=14434&amp;lng=en&gt;

<플레이 스토어 내 Advice Photo Power 앱의 사용자 리뷰>

 

 

보고서에 따르면, 해당 앱은 피해자를 속여 전화번호를 입력하도록 한 후 제휴 서비스 사이트를 로드하고 Wap Click 기술을 통해 유료 서비스를 구독합니다.

 

새로운 WhatsApp mod 스파이웨어

 

Dr. Web의 보고서에 따르면, 2022 1월 발견된 가장 심각한 위협은 비공식 WhatsApp mod 앱의 트로이 목마 버전인 GBWhatsApp, OBWhatsApp, WhatsApp Plus였습니다.

 

해당 mod 앱은 아랍어 지원, 홈 화면 위젯, 별도 하단 바, 상태 옵션 숨김, 통화 차단, 수신된 미디어 자동 저장 기능 등을 제공합니다.

 

mod는 일반적인 WhatsApp에서 사용할 수 없는 추가 기능을 제공하기 때문에 온라인 커뮤니티에서 많은 인기를 누리고 있습니다.

 

 

&lt;이미지 출처 : https://news.drweb.com/show/review/?i=14434&amp;lng=en&gt;

<OBWhatsApp이 홍보한 기능 요약>

 

 

하지만 해당 앱의 트로이 목마 버전에 포함된 악성코드는 Flurry stat 서비스를 통해 구글 플레이 스토어 및 삼성 갤럭시 스토어 앱에서 알림을 가로채려 시도합니다.

 

또한 트로이 목마는 명령 및 제어 서버에서 받은 URL로부터 추가 APK를 다운로드하고, 이를 OBWhatsApp 업데이트를 위장해 사용자에게 설치할 것을 요구합니다.

 

이후 원격으로 동적 설정 및 업데이트되는 콘텐츠를 보여주는 대화 상자를 임의로 표시해 사용자를 악성 사이트로 이동시킬 수 있스빈다.

 

이러한 앱을 안전하게 사용하려면 출처가 불분명한 APK 다운로드를 피하고, 사용자 리뷰를 확인하고, 설치 시 요청하는 권한을 확인하고, 설치한 이후에는 배터리 및 인터넷 데이터 소비량을 모니터링하는 것이 좋습니다.

 

또한 구글 플레이 프로텍트의 상태를 정기적으로 확인하고 모바일 보안 툴을 사용하여 추가 보호 계층을 사용하는 것이 좋습니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/android-trojan-persists-on-the-google-play-store-since-january/

https://news.drweb.com/show/review/?i=14434&lng=en

관련글 더보기

댓글 영역