6만 개 이상의 안드로이드 앱이 악성코드에 감염되었습니다.

CSO Online 에 따르면, Bitdefender의 보고서는 관련 위협 행위자들이 쉽게 전술을 바꿔 사용자를 뱅킹 트로이목마와 같은 다른 유형의 악성코드로 유도하여 로그인 자격 증명, 금융 정보 또는 랜섬웨어를 탈취할 수 있다고 지적합니다.

현재까지 Bitdefender는 6만 개 이상의 안드로이드 앱이 애드웨어에 감염된 것을 확인했으며, 실제 감염 앱은 더 많을 것으로 추정하고 있습니다. 이 악성 프로그램은 적어도 2022년 10월부터 미국, 한국, 브라질, 독일, 영국, 프랑스 사용자들을 대상으로 활동해 왔습니다.

악성코드 유포자들은 공식 앱스토어에서 구할 수 없는 타사 애플리케이션을 이용해 악성코드를 배포합니다. 사용자들이 타사 앱을 다운로드하고 설치하도록 유도하기 위해, 악성코드 유포자들은 공식 앱스토어에서 찾을 수 없는 인기 앱들을 위장하여 악성코드를 심어놓습니다. 어떤 경우에는 구글 플레이 스토어에 게시된 앱을 그대로 복제하기도 합니다. 악성코드가 위장하는 앱의 종류에는 크랙 게임, 기능 제한 해제 게임, 무료 VPN, 가짜 튜토리얼, 광고 없는 유튜브/틱톡, 크랙 유틸리티 프로그램, PDF 뷰어, 심지어 가짜 보안 프로그램까지 다양합니다.

악성코드가 포함된 애플리케이션은 일반 안드로이드 앱처럼 위장하여 설치되고, 설치 후 사용자가 "열기"를 클릭하도록 유도합니다. 하지만 악성코드는 추가 권한이 필요할 수 있기 때문에 자동으로 실행되도록 설정되지 않습니다. 설치가 완료되면 "앱을 사용할 수 없습니다"라는 메시지를 표시하여 사용자가 악성코드가 존재하지 않는다고 생각하도록 속입니다. 실제로는 런처에 아이콘이 없고 레이블에 UTF-8 문자가 사용되어 탐지 및 제거가 더욱 어려워집니다.

실행되면 해당 애플리케이션은 공격자의 서버와 통신하여 모바일 브라우저 또는 전체 화면 웹뷰 광고로 표시될 광고 URL을 가져옵니다.

보도에 따르면, 이는 악성코드가 포함된 안드로이드 애플리케이션과 관련된 최근 사건 중 하나일 뿐입니다. 지난달에는 사이버 보안 업체 닥터 웹(Doctor Web)이 스핀오크(SpinOK)라는 안드로이드 스파이웨어를 발견했습니다. 이 악성코드는 기기에 저장된 파일 정보를 수집하여 악의적인 공격자에게 전송할 수 있습니다. 또한 클립보드 내용을 바꿔 원격 서버에 업로드할 수도 있습니다. 스핀오크 스파이웨어가 포함된 안드로이드 애플리케이션은 4억 2천 1백만 회 이상 설치되었습니다.