Embedded Files
게시일: 2020. 6. 9 오후 6:00:16
| 입력 : 2020-06-09 16:00
[이미지 = utoimage]
트렌드 마이크로의 제시 황(Jessie Huang)은 자사 블로그를 통해 이에 대해 상세히 밝히며 문제의 앱이 ‘바코드 리더(Barcode Reader)’와 ‘큐알 앤 바코드 스캐너(QR & Barcode Scanner)’라고 공개했다. 그러나 개발사나 퍼블리셔의 이름은 밝히지 않았다. 현재 트렌드 마이크로와의 협업으로 구글은 플레이 스토어에서 두 가지 앱을 삭제한 상태다.
해당 게시글에 의하면 트렌드 마이크로는 이 두 가지 앱과 비슷한 악성 행위를 하는 앱을 추가적으로 51개 찾아냈다고 한다. 이 앱들 대부분은 구글이 이미 삭제했는데, 서드파티 앱 스토어 등을 통해 배포되고 있다. 따라서 서드파티 스토어에서 애플리케이션을 받는 건, 구글 플레이 스토어가 완전하지 못하다고 하더라도, 안전하지 않은 행위가 된다고 트렌드 마이크로는 강조했다.
한편 문제의 바코드 앱들은 기본적으로 정상 작동을 한다. 앱 소개 글에 나온 것과 똑같은 기능을 선보인다. 다만 여기에 악성 행위를 숨겨둔다는 게 문제다. 이 악성 프로세스는 com.facebook이라는, 정상 앱처럼 보이는 패키지를 배경에서 실행시킴으로써 스스로를 감추기도 한다. 게다가 사용자가 현재 실행되는 프로세스를 열람할 경우, 이미 장비에 설치된 다른 앱과 아이콘을 띄워둠으로써 사용자들의 눈을 피한다.
또한 이 악성 패키지는 타이머 기능을 활용해 15분에 한 번씩 광고를 노출시킨다. 광고는 열리자마자 닫히는데, 이 때문에 사용자가 실제로 보는 건 깜빡임 정도다. 조금 둔한 사람이라면 애드웨어의 존재나 ‘뭔가 이상하다’는 낌새를 느끼지 못한다고 한다. 그러나 광고 조회수를 가짜로 올리기에는 충분히 긴 시간이다.
공격자들은 이런 수법으로 광고 조회수를 올린 뒤 광고주로부터 부당한 대가를 요구했을 것으로 보인다. 공격자들이 앱 개발사일 가능성도 낮지 않다. 하지만 공격자들이 공급망 공격 등을 통해 멀쩡한 앱에 악성 코드를 주입했을 수도 있다. 이에 대해서는 트렌드 마이크로가 명확히 밝혀내지 못하고 있다.
이 애드웨어는 악성 서버를 통해 제어된다. 서버는 앱으로 설정 정보, 광고 ID, 각종 명령 등의 정보를 내보낸다. 전송되는 것에 따라 특정 콘텐츠가 감염된 장비에서 열리기도 하고, 새로운 프로세스가 시작되기도 한다. 이 때 FLAG_ACTIVITY_NEW_TASK가 활용되는데, 이렇게 했을 때 “사용자가 앱이 열리고 실행되는 걸 느끼지 못한다”고 황은 설명한다.
또 다른 블로그 게시글을 통해 트렌드 마이크로는 테키야(Tekya)라는 애드웨어 패밀리도 추가로 발견했다고 밝혔다. 총 5개 앱에 주입되어 있는 걸 파악했고, 현재 이 5개 앱 모두 구글 플레이 스토어에서 사라진 상태라고 한다.
테키야는 또 다른 보안 업체 체크포인트(Check Point)가 플레이 스토어에서 배포되고 있는 아동용 게임 및 유틸리티 앱들에서 발견해 세상에 공개한 바 있다. 구글 측은 해당 앱들을 삭제했다.
3줄 요약
1. 안드로이드 생태계에서 수상한 바코드 리더 앱 두 개가 발견됨.
2. 분석해 보니 배경에 광고를 재빨리 켰다가 끄는 기능을 가지고 있었음.
3. 이를 통해 광고 조회수 올리는 광고 사기 수법의 일종이었던 것으로 보임.
Page updated
Google Sites
Report abuse