Home > 전체기사

구글, 악성 광고 캠페인 벌이던 앱 164개 스토어에서 삭제

  |  입력 : 2021-01-18 15:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
지난 몇 년 악성 앱과의 전쟁을 벌이던 구글이 2021년의 시작부터 164개의 악성 앱을 퇴출시켰다. 간단한 애드웨어들인데 이미 천만 번 이상 다운로드 된 다음의 일이었다. 올 한 해도 플레이 스토어 쪽은 시끌벅적 할 것으로 예상된다.

[보안뉴스 문가용 기자] 구글이 플레이 스토어에서 164개의 앱들을 삭제했다. 전부 1천만 번 이상 다운로드 된 앱들로, 악성 광고 캠페인에 활용되었다는 것이 삭제의 이유다. 구글은 작년에도 과도하게 혹은 맥락에 맞지 않은 광고를 내보내는 앱들을 자사 생태계에서 찾아내 다량 삭제했었다. 올해도 이 싸움은 계속 될 것으로 보인다.

[이미지 = utoimage]


보안 업체 화이트옵스(WhiteOps)가 찾아 구글에 보고하고 이번에 삭제된 앱들은 정상적인 인기 앱들의 모양을 거의 그대로 따라해 사용자들을 속이는 것으로 분석됐다. 속아서 설치할 경우 각종 광고가 장비에 시도 때도 없이 나타난다. 이런 앱들은 총 164개였으며, 이번 보고서에서 코피캐츠(CopyCatz)으로 통칭된다. 사용자가 앱을 사용하고 있지 않아도(즉 맥락에 상관없이) 광고를 무자비하게 내보낸다.

구글은 지난 해 2월 약 600개의 악성 앱들을 플레이 스토어에서 찾아내 삭제함은 물론 개발사들을 영구히 몰아냈다. 그럼에도 악성 행위자들은 다양한 방법으로 플레이 스토어에 침투하고 있으며 구글의 ‘악성 앱 삭제’ 행위는 주기적으로 보도되고 있다. 아직 플레이 스토어가 애드웨어와 스파이웨어 등의 악성 앱으로부터 안전하다고 보기는 힘들다.

이번 코피캐츠 앱들의 공통점은 전부 com.tdc.adservice라는 패키지와 연결되어 있다는 것이었다. 또한 드롭박스(Dropbox)에 호스팅 되어 있는 C&C 제이슨(JSON)으로 제어되고 있기도 했다. 물론 드롭박스는 공격자들에 의해 ‘활용된’ 것이지 이번 공격에 적극 참여한 주체는 아니다. 앱마다 제이슨의 URL이 달라지긴 하지만 구조는 대동소이하다고 한다. 그렇기 때문에 어떤 앱을 설치하든 비슷한 광고가 비슷한 주기로 노출된다.

연구원들이 제일 먼저 찾아낸 앱은 어시스티브 터치 2020(Assistive Touch 2020)이라는 앱이었다. 같은 이름의 정상 앱이 존재하는데, 오리지널 앱에는 ‘2020’이라는 숫자가 빠져 있다. 이렇게 정상적인 앱이나 서비스, 웹사이트의 이름을 교묘하게 활용하는 건 사이버 공격자들의 흔한 수법 중 하나다. 전통적인 방법이지만 구글 플레이 스토어를 뚫어내는 데 성공할 정도로 효과적이다.

어시스티브 터치 2020을 피해자가 설치하면, 해당 앱은 com.tdc.adservice 패키지와 연결된다. 이는 일종의 C&C 서버이며, 설치된 앱과 연결되면 매개변수를 내보낸다. 이를 통해 광고가 노출되는 주기와 광고 종류가 결정된다. 또한 앱이 광고를 받아오는 플랫폼도 이 매개변수를 통해 정해진다. 그런 상태에서 두 시간 정도 아무런 일이 일어나지 않는다. 사용자가 뭔가 잘못되었다는 걸 곧바로 느끼지 못하게 하기 위해서다. 또한 최근 앱 활동 목록에도 해당 앱은 나타나지 않는다.

그러나 추적을 따돌리려거나 분석을 방해하려는 최소한 기술도 앱에 담겨 있지는 않았다. “인기 메모 앱인 에버노트(Evernote)의 오픈소스 스케줄러가 임베드 되어 있습니다. 이것이 바로 공격 지속성을 확보해 주는 장치인 것이죠. 에버노트도 드롭박스처럼 공격에 악용된 것이지 공격의 참여자 자체는 아닙니다. 이 에버노트 오픈소스를 조금만 추적하면 애즈잡(AdsJob) 클래스에서 광고 노출 제어 장치가 있다는 걸 알 수 있습니다.”

이렇게 난독화 혹은 분석 방해 장치가 전무하다시피 하기 때문에 이 계열의 앱들을 전부 찾아내는 게 어려운 일이 아니었다. 화이트옵스는 보고서를 통해 164개의 앱을 전부 공개했고, 안드로이드 사용자들이라면 설치 여부를 점검한 후 삭제하라고 권고했다. 보고서는 여기(https://www.whiteops.com/blog/imitation-is-the-sincerest-form-of-fraudery)서 열람이 가능하다.

보안 담당자라면 조직 내 모든 트래픽을 모니터링 해 com.tdc.adserivce에서 오는 것들을 차단하는 것도 좋은 방법일 수 있다고 한다.

3줄 요약
1. 구글, 플레이 스토어에서 164개의 악성 앱 찾아내 삭제.
2. 전부 사용자들의 장비를 통해 광고를 노출시키는 애드웨어.
3. 개인 사용자는 164개 앱 목록 확인해 삭제하고, 보안 담당자는 com.tdc.adservice 트래픽을 차단하고.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
과기정통부가 발표한 ‘K-사이버방역 추진전략’ 8대 과제 가운데 가장 시급하고 중요하게 해결해야 할 과제는?
사이버보안 대응체계 고도화
수요자 중심 디지털보안 역량 강화
차세대 융합보안 기반 확충
신종 보안위협 및 AI 기반 대응 강화
디지털보안 핵심기술 역량 확보
정보보호산업 성장 지원 강화
디지털보안 혁신인재 양성
디지털보안 법제도 정비