200만회 이상 다운로드 된 구글 플레이 스토어의 안드로이드 악성코드

국내외 보안동향

by 알 수 없는 사용자 2022. 6. 17. 09:20

사이버 보안 연구원들은 지난달 구글 플레이 스토어에서 애드웨어 및 정보 탈취 악성코드를 발견했다고 밝혔습니다. 그 중 최소 5개는 여전히 다운로드가 가능하며, 누적 다운로드 수는 2백만 회를 넘었습니다.

특히 원치 않는 광고를 표시하는 애드웨어에 감염될 경우 사용자 경험 저하, 배터리 소모, 열 발생 등 사용자에게 방해가 될 수 있으며, 승인되지 않은 요금까지 청구될 수 있습니다.

이러한 소프트웨어는 일반적으로 호스트 기기에서 다른 소프트웨어로 위장하여 숨으려 하고, 피해자가 관련 광고를 보거나 클릭하도록 유도해 운영자가 원격으로 수익을 창출할 수 있도록 합니다.

그러나, 정보 탈취 트로이 목마는 SNS 및 온라인 뱅킹 계정을 포함하여 자주 사용하는 다른 사이트의 로그인 크리덴셜을 훔치므로 훨씬 악랄합니다.

Dr. Web의 분석가들은 애드웨어 앱과 데이터 탈취 트로이목마를 2022년 5월에 가장 두드러지는 위협이라고 보고했습니다. 구글 플레이 스토어에 침투한 많은 악성 앱 중 아래 5가지는 여전히 다운로드가 가능합니다.

(1) PIP Pic Camera Photo Editor

- 100만회 다운로드, 이미지 편집 소프트웨어로 위장하여 사용자의 페이스북 계정 크리덴셜을 훔치는 악성코드

(2) Wild & Exotic Animal Wallpaper

- 50만회 다운로드, 아이콘과 이름을 'SIM Tool Kit'로 바꾸고 배터리 절약 예외 목록에 추가하는 애드웨어 트로이 목마

(3) ZodiHoroscope – Fortune Finder

- 50만회 다운로드, 인앱 광고를 비활성화하기 위해 사용자를 속여 페이스북 계정 크리덴셜을 훔치는 악성코드

(4) PIP Camera 2022

- 5만회 다운로드, 카메라 효과 앱으로 위장한 페이스북 계정 하이재커

(5) Magnifier Flashlight

- 1만회 다운로드, 영상 및 정적 배너 광고를 표시하는 애드웨어 앱

최근 사용자 리뷰에 따르면 이러한 악성 애플리케이션은 여전히 악성 기능이 포함되어 있으며, 약속된 기능을 제공하지 않습니다.

Dr. Web의 연구원들은 2022년 5월 플레이 스토어에서 레이싱 게임, 삭제된 이미지 복구 툴, 러시아 사용자 대상 가짜 국가 보상 앱, Only Fans 플랫폼을 위한 “무료 액세스” 앱 등의 악성 앱을 발견했습니다.

이후 이러한 앱은 플레이 스토어에서 삭제되었지만, 기기에 앱을 설치한 사용자는 해당 앱을 제거하고 안티 바이러스 스캐닝을 실행하여 나머지 추가 악성 앱도 제거해야 합니다.

또한 Cyble의 연구원들은 구글 플레이 스토어에서 최근 유럽 은행의 고객을 겨냥한 Hydra 뱅킹 트로이 목마를 발견했습니다.

이 악성코드는 텍스트를 PDF로 변환하는 기능과 QR코드 스캔 기능을 갖춘 PDF 문서 관리자 앱으로 위장하여 1만회 이상 다운로드되었습니다.

Cyble은 해당 악성 앱이 2022년 6월 9일까지 플레이 스토어에 있었지만, 이후 구글에서 제거했다고 말했습니다.

그러나 APKAIO.com 및 APKCombo.com과 같은 써드파티 스토어에서는 동일한 PDF 앱을 계속 다운로드 할 수 있으므로 사용자들의 주의가 필요합니다.

출처

보안관제센터 MIR Team

中 10억명 정보 해킹, 비트코인 10개에 판매 시도 (0)	2022.07.05
AstraLocker 랜섬웨어 종료에 따른 암호 해독기 공개 (0)	2022.07.05
Mandiant, LockBit 랜섬웨어에 해킹당했다는 주장에 “증거 없다” (0)	2022.06.07
CVE-2022-30190 취약점에서 파생된 ProtocolNightmare 제로데이 취약점 발견 (0)	2022.06.02
클롭(CLOP) 랜섬웨어 조직, 한 달 만에 21개 기관 공격해 (0)	2022.06.02