구글, 플레이 스토어에서 가장 큰 애드웨어 패밀리 제거해

구글, 플레이 스토어에서 가장 큰 애드웨어 패밀리 제거해

Google Kicks Out Largest Android Adware Family From The Play Store

구글이 최근 공식 플레이 스토어에서 대량의 사기성 광고 봇넷 패밀리를 발견하였습니다. 

Chamois라 명명 된 이 PHAs(국내에서는 PUA, PUP라고도 부름) 패밀리는 사용자들에게 대량의 팝업광고를 띄우며, 백그라운드에서 자동으로 다른 앱들을 설치하며 추가 플러그인을 다운로드 하며, 텍스트 메시지를 보내 유료 서비스에 가입할 수 있습니다.

구글의 엔지니어들은 정기적인 광고 트래픽 품질 평가를 진행 중 의심스러운 광고 트래픽을 발견해 Chamois를 탐지해 낼 수 있었습니다.

이 앱들은 탐지를 피하기 위해 난독화 및 안티 디버깅 기술들을 사용하였습니다. 

악성코드가 포함 된 이 앱들의 최종 목적은, 구글의 탐지 및 차단 시스템을 우회하여 광고 사기를 통해 수익을 창출하는 것으로 추정됩니다. 

구글의 보안 소프트 엔지니어는 블로그에서 “Chamois를 기반으로 한 악성 앱들을 분석한 결과, 구글의 탐지를 우회하여 사용자들이 사기 광고를 클릭하도록 속이는 기술들 몇 개를 발견했다.” “이는 종종 SMS 사기를 저지르는 다른 앱이 다운로드 되는 결과로 이어지기도 한다. 따라서 우리는 Verify Apps를 사용해 Chamois 앱 패밀리와 공격자를 차단했다”고 밝혔습니다.

Chamois 앱들은 설정 파일과 추가 코드를 위한 커스텀 암호화 스토리지를 사용하는 등 다단계 페이로드 구조로 되어 있었어 분석의 난이도를 높였습니다.

<이미지 출처 : http://thehackernews.com/2017/03/android-adware-malware-google.html>

구글 보안팀은 Chamois 앱을 정확히 파악하기 위하여 전문 개발자가 작성한 것으로 보이는 정교한 코드 10만줄 이상을 분석했습니다.

현재 구글은 Verify Apps을 사용하여 해당 앱들을 차단하였으며, 애드웨어 앱의 제작자도 함께 차단하였습니다. 또한 Chamois와 관련된 위협들을 탐지해 낼 수 있도록 앱 테스트 시스템을 업데이트 하였습니다. 

참고 :

http://thehackernews.com/2017/03/android-adware-malware-google.html

https://android-developers.googleblog.com/2017/03/detecting-and-eliminating-chamois-fraud.html

출처: http://blog.alyac.co.kr/1013 [알약 공식 블로그]