구글 플레이스토어에서 총 100만 번 이상 다운로드된 애플리케이션(앱) 4개가 발견됐다.
Malwarebytes 연구팀에 따르면, 4개의 앱은 모두 한 개발자가 개발했으며, Android/Trojan.HiddenAds.BTGTHB 악성코드에 감염된 것으로 알려졌다.
다음은 발견된 악성 앱들의 목록이다.
• 블루투스 앱 발신자(com.bluetooth.share.app): 5만 번 이상 다운로드
• 블루투스 자동 연결(com.bluetooth.autoconnect.anybtdevices): 100만 번 이상 다운로드
• 드라이버, 블루투스, Wi-Fi, USB(com.driver.finder.bluetooth.wifi.usb): 1만 번 이상 다운로드
• 모바일 전송. 스마트 스위치(com.mobile.faster.transfer.smart.switch): 1000번 이상 다운로드
연구팀은 과거 동일한 앱이 Android/Trojan.HiddenAds의 다른 변종으로 감지됐었다고 설명했다.
이 앱들은 피해자를 공격자의 통제 하에 있는 웹사이트로 리디렉션하는 애드웨어의 일부로, 공격에 동원된 일부 사이트는 피싱 페이지를 호스팅한다.
Malwarebytes 연구팀은 “악성 앱은 크롬에서 피싱 사이트를 연다. 피싱 사이트의 콘텐츠는 다양하다. 일부는 그냥 일반 사이트이고 다른 일부는 위험한 피싱 사이트다. 예를 들어, 한 사이트에는 사용자에게 자신이 감염되었거나 업데이트를 수행해야 함을 알리는 피싱 페이지로 연결되는 성인용 콘텐츠가 포함돼 있다. 모바일 기기가 잠겨 있어도 크롬 탭은 백그라운드에서 열린다"라고 설명했다.
일부 웹사이트는 사용자의 모바일에 추가 악성 페이로드를 전달하도록 설계됐다. 탐지를 피하기 위해 악성 앱은 크롬 브라우저에서 대기하다가 2시간 터울로 탭을 실행한다.
연구팀은 "첫 번째 광고 지연 후 추가로 2시간을 기다려야 하는지, 아니면 첫 번째 광고 후 2시간 후에 다른 광고를 표시하는지 여부는 확실하지 않다. 이러한 유형의 로그 항목은 15분마다 기록돼 지속적으로 새로운 광고를 내보낸다”라고 말했다.
한편 Malwarebytes 연구팀은 이 앱이 HiddenAds라는 악성코드의 일부라고 보고 있다.
*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
