구글이 방금 제거한 악성 앱 224개를 확인하세요.

"SlopAds"라 불리는 대규모 안드로이드 광고 사기 작전이 중단되었습니다. 이는 Google Play에서 224개의 악성 앱을 사용하여 하루 23억 개의 광고 요청을 생성했기 때문입니다.

HUMAN의 Satori Threat Intelligence 팀이 이 광고 사기 캠페인을 발견했습니다. 해당 팀은 해당 앱이 3,800만 회 이상 다운로드되었으며, 구글과 보안 도구로부터 악성 행위를 숨기기 위해 난독화 및 은폐 기술을 사용한다고 보고했습니다.

SlopAds 광고 사기 캠페인과 관련된 악성 앱이 약 224개 있습니다.

이 캠페인은 전 세계적으로 배포되었으며, 228개국에서 앱 설치가 이루어졌고 SlopAds 트래픽은 하루 23억 건의 입찰 요청을 기록했습니다. 광고 노출이 가장 집중된 지역은 미국(30%)이었고, 그 뒤를 이어 인도(10%)와 브라질(7%)이 뒤따랐습니다.

HUMAN은 "연구원들은 이 작전을 '슬롭애드(SlopAds)'라고 명명했습니다. 이 위협과 관련된 앱은 대량 생산된 모양새로 'AI 슬롭'과 유사하며, 위협 행위자의 C2 서버에 호스팅된 AI 테마 앱과 서비스 모음을 의미합니다."라고 설명했습니다.

Các ứng dụng Android liên quan đến chiến dịch gian lận quảng cáo SlopAds Nguồn: HUMAN Satori — SlopAds 광고 사기 캠페인에 연루된 Android 앱 출처: HUMAN Satori

매우 정교한 광고 사기

광고 사기에는 Google의 앱 검토 프로세스와 보안 소프트웨어에서 감지되지 않기 위해 여러 단계의 회피 전술이 사용됩니다.

사용자가 캠페인 광고 중 하나가 아닌 Play 스토어를 통해 자연스럽게 SlopAd 앱을 설치한 경우, 앱은 일반 앱처럼 작동하여 광고된 기능을 정상적으로 수행합니다.

Quy trình làm việc của phần mềm độc hại gian lận quảng cáo SlopAds Nguồn: HUMAN SATORI — SlopAds 광고 사기 맬웨어의 워크플로 출처: HUMAN SATORI

그러나 사용자가 위협 행위자의 광고 캠페인 중 하나를 통해 앱의 링크를 클릭하여 앱을 설치한 것으로 판단되면 해당 소프트웨어는 Firebase 원격 구성을 사용하여 광고 사기 맬웨어 모듈, 현금화 서버 및 JavaScript 페이로드에 대한 URL이 포함된 암호화된 구성 파일을 다운로드합니다.

그런 다음 앱은 연구원이나 보안 소프트웨어에 의해 분석되는 것이 아니라 합법적인 사용자의 기기에 설치되었는지 여부를 판별합니다.

앱이 이러한 검사를 통과하면 악성 APK의 일부를 숨기는 데 스테가노그래피를 사용하는 4개의 PNG 이미지가 다운로드됩니다. 이 이미지는 광고 사기 캠페인을 수행하는 데 사용됩니다.