60,000개 이상의 안드로이드 앱이 맬웨어에 감염됨

CSO Online 에 따르면, Bitdefender의 보고서는 관련된 위협 행위자들이 로그인 자격 증명, 금융 정보 또는 랜섬웨어를 훔치기 위해 뱅킹 트로이 목마와 같은 다른 유형의 맬웨어로 사용자를 리디렉션하는 전략을 쉽게 바꿀 수 있다고 언급합니다.

비트디펜더는 현재까지 6만 개가 넘는 안드로이드 앱이 이 애드웨어에 감염된 것을 발견했으며, 더 많은 앱이 있을 것으로 추정하고 있습니다. 이 악성코드는 최소 2022년 10월부터 미국, 한국, 브라질, 독일, 영국, 프랑스 사용자를 표적으로 삼아 활동해 왔습니다.

위협 행위자는 공식 스토어에서 맬웨어를 구할 수 없기 때문에 타사 앱을 사용하여 맬웨어를 유포합니다. 맬웨어 운영자는 사용자가 타사 앱을 다운로드하고 설치하도록 유도하기 위해 공식 스토어에서 찾을 수 없는 인기 앱에 위협을 숨깁니다. 경우에 따라 이러한 앱은 Google Play 스토어에 게시된 앱을 단순히 모방하기도 합니다. 맬웨어에 의해 모방되는 앱 유형에는 크랙된 게임, 잠금 해제된 기능이 있는 게임, 무료 VPN, 가짜 튜토리얼, 광고 없는 YouTube/TikTok, 크랙된 유틸리티 프로그램, PDF 뷰어, 심지어 가짜 보안 프로그램까지 포함됩니다.

맬웨어에 감염된 앱은 일반 안드로이드 앱처럼 설치되며, 설치 후 사용자에게 "열기"를 클릭하도록 유도합니다. 하지만 맬웨어는 자동 실행되도록 설정하지 않습니다. 자동 실행을 위해서는 추가 권한이 필요합니다. 설치 후, 맬웨어는 "앱을 사용할 수 없습니다"라는 메시지를 표시하여 사용자가 맬웨어가 존재하지 않는다고 생각하도록 유도하지만, 실제로는 런처에 아이콘이 없고 레이블에 UTF-8 문자가 포함되어 있어 탐지 및 제거가 더욱 어렵습니다.

앱이 실행되면 공격자의 서버와 통신하여 모바일 브라우저나 전체 화면 WebView 광고에 표시될 광고 URL을 검색합니다.

이는 최근 안드로이드 앱에 악성코드가 포함된 여러 사례 중 하나일 뿐입니다. 지난달, 사이버 보안 회사 닥터 웹(Doctor Web)은 SpinOK라는 안드로이드 스파이웨어를 발견했습니다. 이 악성코드는 기기에 저장된 파일 정보를 수집하여 악의적인 공격자에게 전달할 수 있습니다. 또한 클립보드 내용을 바꿔 원격 서버에 업로드할 수도 있습니다. 스파이웨어가 포함된 SpinOk가 포함된 안드로이드 앱은 4억 2천 1백만 회 이상 설치되었습니다.