구글 플레이에서 300만 번 이상 설치된 새로운 안드로이드 악성코드

Bleeping Computer의 보고서에 따르면, 보안 연구원이 구글 플레이 스토어에서 프리미엄 서비스에 가입하도록 비밀리에 유도하는 새로운 안드로이드 악성코드 패밀리를 발견했습니다.

새로운 안드로이드 악성코드는 Autolycos라는 이름으로, 사이버 보안 회사 Evina의 보안 연구원인 Maxime Ingrao에 의해 발견되었습니다. Ingrao가 2021년 6월에 처음 식별한 이 악성코드는 300만 번 이상 다운로드된 플레이 스토어의 8개 앱에 감염되었습니다.

이 모든 악성 앱은 사용자에게 카메라 또는 키보드의 추가 기능을 제공하여 다운로드하도록 유도했습니다.

Ingrao는 이러한 악성 앱이 설치 후 사용자에게 스마트폰의 SMS 텍스트를 읽을 수 있는 권한을 요청한다고 지적했습니다. 사용자가 권한을 부여하면 데이터가 도난당했습니다.

때때로 그들은 소유자의 지식이나 동의 없이 감염된 앱의 프리미엄 패키지에 가입하기도 했습니다. 그들은 청구서를 받고 금액이 신용 카드 또는 직불 카드에서 인출되었다는 통지를 받을 때까지 알지 못했습니다.

연구원이 2021년 6월에 Autolycos 악성코드에 대해 구글에 보고했지만, 검색 거인은 감염된 6개 앱을 플레이 스토어에서 제거하는 데 약 6개월이 걸렸습니다. 또한, 나머지 2개 감염된 앱은 Bloomberg가 Autolycos 악성코드에 대한 기사를 발표한 후에만 삭제되었습니다.

아래는 Autolycos 악성코드에 감염된 앱의 전체 목록과 세부 정보입니다:

2. Vlog Star Video Editor:- 100만 다운로드

3. Creative 3D Launcher:- 100만 다운로드

4. Wow Beauty Camera:- 10만 다운로드

5. Gif Emoji Keyboard:- 10만 다운로드

6. Freeglow Camera 1.0.0:- 5,000 다운로드

7. Coco camera V1.1:- 1,000 다운로드

8. Funny Camera by KellyTech:- 5만 다운로드 이상

9. Razer Keyboard & Theme by rxcheldiolola:- 5만 다운로드 이상

Autolycos 악성코드는 어떻게 작동했나요?

“Autolycos는 이제 잘 알려진 Joker 악성코드보다 훨씬 더 은밀합니다. Autolycos는 Joker처럼 보이지 않는 브라우저를 실행하지 않습니다. 이 악성코드는 브라우저를 사용하지 않고 http 요청을 실행하여 사기 시도를 합니다.”라고 Ingrao는 악성코드 작동 방식을 설명하는 보고서에서 썼습니다.

“일부 단계에서는 원격 브라우저에서 URL을 실행하고 이러한 결과를 http 요청에 포함할 수 있습니다. 이 작업은 Google이 Autolycos에 감염된 앱을 합법적인 앱과 구별하기 어렵게 만들기 위한 것입니다. 이것이 바로 Autolycos가 그렇게 오랫동안 식별되지 않고 300만 다운로드를 초과한 이유입니다.”

사이버 범죄자들은 여러 페이스북 페이지에서 앱을 홍보하고 페이스북과 인스타그램에서 광고를 실행하여 많은 신규 사용자에게 도달했습니다.

광고 캠페인을 통해 홍보된 앱은 사용자에게 더 눈에 띄게 되어 짧은 시간 안에 많은 사용자가 앱을 다운로드하게 되었고, 이는 플레이 스토어에서 높은 순위를 차지하게 되었습니다.

예를 들어, Ingrao에 따르면 Autolycos가 포함된 Razer Keyboard & Theme 앱을 홍보하기 위해 74개의 서로 다른 광고 캠페인이 있었습니다. 일부는 또한 플레이 스토어에서 긍정적인 리뷰를 생성하기 위해 봇을 사용했습니다. 이 앱은 나이지리아의 플레이 스토어에서 새로운 앱 5위에 랭크되었고, 개인화 앱 카테고리에서 2위에 랭크되었습니다.

안전하게 지내기 위해, 위에서 언급한 감염된 앱이 귀하의 안드로이드 스마트폰에 있는지 확인하고, 있다면 즉시 삭제하십시오. 백그라운드 인터넷 데이터, 앱이 소모한 배터리를 모니터링하고, Play Protect를 활성화하며, 스마트폰에 가능한 한 적은 앱을 다운로드하십시오.