1.5M 설치된 안드로이드 앱, 사용자 데이터를 중국으로 전송하는 것으로 확인

프라데오의 보안 연구원들은 구글 플레이 스토어에 숨겨져 있는 파일 관리 애플리케이션으로 가장한 두 개의 스파이웨어 앱을 발견했으며, 이 앱들은 최대 150만 명의 안드로이드 사용자에게 영향을 미치고 있습니다.

모바일 보안 회사에 따르면, 이 두 개의 악성 앱은 사용자의 입력 없이 자동으로 실행되며, 민감한 사용자 데이터를 수집하고 이를 중국에 위치한 의심스러운 서버로 전송하도록 프로그래밍되어 있습니다.

두 스파이웨어 앱은 각각 파일 복구(File Recovery)와 데이터 복구(Data Recovery)(com.spot.music.filedate)로, 설치 수가 100만 건을 넘고, 파일 관리자(File Manager)(com.file.box.master.gkd)는 50만 건 이상 설치되었습니다.

두 애플리케이션은 동일한 개발자에 의해 제작되었으며 유사한 악성 행동을 보입니다.

이 앱들은 어떻게 작동하나요?

이 두 스파이웨어 앱은 구글 플레이 스토어에서 프라데오의 행동 분석 엔진에 의해 발견되었으며, 이 앱들은 사용자 장치에서 데이터를 수집하지 않는다고 주장합니다. 또한, 수집된 데이터가 있을 경우 사용자가 이를 삭제 요청할 수 없다고 명시하고 있습니다.

하지만 구글 플레이 스토어의 주장과는 달리, 이 두 모바일 앱은 다음과 같은 민감한 사용자 데이터를 수집하고 이를 주로 중국에 위치한 여러 서버로 전송하는 것으로 확인되었습니다:

• 사용자 장치의 연락처 목록, 연결된 이메일 계정 및 소셜 네트워크

• 애플리케이션에 저장된 사진, 오디오 및 비디오 콘텐츠

• 실시간 사용자 위치

• 모바일 국가 코드

• 네트워크 제공자 이름

• SIM 제공자의 네트워크 코드

• 운영 체제 버전 번호

• 장치 브랜드 및 모델

특히 우려스러운 점은 각 애플리케이션이 수집된 데이터를 백 번 이상 전송했다는 것으로, 이는 악성 활동에 있어 상당한 양입니다.

이 스파이웨어 앱의 개발자들은 더 신뢰할 수 있고 성능이 뛰어난 것처럼 보이기 위해 교묘한 기술을 사용하여 이들을 찾고 제거하기 어렵게 만들었습니다.

“두 스파이웨어 모두 큰 사용자 수를 보이지만 리뷰가 없습니다. 우리는 해커가 설치 농장이나 모바일 장치 에뮬레이터를 사용하여 이러한 숫자를 조작했으며, 따라서 애플리케이션이 스토어의 카테고리 목록에서 더 높은 순위를 차지하고 그들의 명성을 높였다고 믿습니다.”라고 프라데오의 스파이웨어를 발견한 연구원 록산 수아가 블로그 게시물에서 썼습니다.

게다가 두 앱은 사용자 상호작용 없이 장치를 재시작하고 자동으로 실행할 수 있는 고급 권한을 가지고 있으며, 홈 화면에서 아이콘을 숨겨 사용자가 이를 제거하기 어렵게 만들었습니다.

프라데오는 블로그 게시물을 게시하기 전에 구글에 이 발견을 알렸습니다. 작성 시점에 두 스파이웨어 앱은 구글 플레이 스토어에서 제거되었습니다.

“이 앱들은 구글 플레이에서 제거되었습니다. 구글 플레이 프로텍트는 구글 플레이 서비스가 있는 안드로이드 장치에서 이 악성코드를 포함하는 것으로 알려진 앱으로부터 사용자를 보호합니다. 이러한 앱이 플레이 외부의 다른 출처에서 제공되더라도 마찬가지입니다.”라고 구글이 BleepingComputer에 발표했습니다.

위에서 언급한 앱이 장치에 설치되어 있다면 즉시 찾아서 삭제하는 것이 권장됩니다. 또한, 아래의 팁을 따라 안전을 유지할 수 있습니다:

• 장치에서 최신 버전의 안드로이드를 실행하고 있는지 확인하세요.

• 수천 명의 사용자가 있음에도 리뷰가 없는 앱은 다운로드하지 마세요.

• 리뷰가 있다면 이를 읽어 앱의 합법성을 이해하세요.

• 항상 권한을 수락하기 전에 신중하게 읽으세요.

• 더 이상 필요하지 않은 앱은 장치에서 제거하세요.

• 필요 이상의 권한을 요청하는 앱에 주의하세요. 이는 악성일 수 있습니다.

• 신뢰할 수 있는 개발자가 발행한 소프트웨어만 다운로드하세요.