구글, 플레이 스토어에서 악성코드가 포함된 6개의 안티바이러스 앱 제거

구글의 악성코드 감염 앱에 대한 대응 노력이 부족한 것 같습니다. 플레이 스토어에는 이러한 앱이 너무 많아 처리하기 어렵습니다.

연구자들은 구글 플레이 스토어에서 로그인 자격 증명을 훔치는 것으로 보고된 6개의 앱을 발견했으며, 이 앱들은 플랫폼에서 성공적으로 제거되었습니다. 아이러니하게도 이 앱들은 ‘안티바이러스’ 프로그램입니다.

Table Of Contents

• 플레이 스토어에서 제거된 6개의 안티바이러스 프로그램
• 샤크봇의 작동 방식

플레이 스토어에서 제거된 6개의 안티바이러스 프로그램

CheckPoint의 연구자들에 따르면, 구글 플레이 스토어에서 발견된 6개의 앱은 검색 엔진 거인이 제거하기 전에 15,000회 이상 다운로드되었습니다.

이 앱들은 일반적으로 유포자가 되는 뷰티 또는 카메라 앱이 아니라 정말로 불쾌한 안티바이러스 프로그램이었습니다.

보고서에 따르면, 안티바이러스 프로그램으로 가장한 이 6개의 앱은 샤크봇 안드로이드 스틸러 프로그램을 사용했습니다. 샤크봇은 은행 앱이 열릴 때와 같은 이벤트에서 실제 애플리케이션의 입력 양식을 모방하는 입력 양식을 생성하여 사용자가 자신의 정보를 입력하도록 유도합니다.

사용자가 의도치 않게 가짜 양식에 자격 증명을 입력하는 동안, 샤크봇은 모든 관련 세부 정보를 얻습니다. 그와 함께 SMS를 가로채고, 키로깅을 수행하며, 피해자의 장치에 대한 완전 원격 액세스를 가질 수 있습니다.

앱에는 Atom Clean – Booster, Antivirus; Antivirus, Super Cleaner; Alpha Antivirus, Cleaner; Powerful Cleaner, Antivirus; Center Security – Antivirus; Center Security – Antivirus가 여러 개발자로부터 포함되어 있습니다.

샤크봇의 작동 방식

샤크봇은 사용자가 로그인 자격 증명을 입력하는 가짜(하지만 설득력 있는) 양식을 표시합니다. 여기서 자격 증명 세부 정보는 악성 서버로 전송됩니다. 이 프로그램은 이메일, 소셜 미디어 및 은행 앱 등에서 자격 증명을 기록할 수 있습니다.

현재 이 앱의 피해자는 주로 이탈리아와 영국에서 발생하고 있습니다. 샤크봇은 지오펜싱을 활용하여 러시아, 루마니아, 인도, 중국, 벨라루스 또는 우크라이나의 사용자를 무시하여 접근을 제한했습니다.

이 앱들이 구글의 세이프티넷을 통과할 수 있었던 것은 경악스럽습니다. 보고서에 따르면, 이러한 앱의 악성 특성은 누군가 다운로드하고 사용하기 전까지 활성화되지 않았습니다. 이것이 아마도 이 앱들이 레이더 아래로 지나갈 수 있었던 이유일 것입니다.

현재 구글은 플레이 스토어에서 이 6개의 앱을 제거했습니다. 이 앱들은 여전히 APK로 다른 마켓플레이스에서 사용할 수 있습니다.