구글 플레이 앱에 숨겨진 대규모 모바일 광고 사기 캠페인

사이버 보안 연구자들은 숨겨진 안드로이드 앱 352개가 은밀한 광고 사기 도구로 작동하고 있음을 발견했습니다. 이들은 매일 12억 건의 가짜 광고 입찰을 생성하였으며, 이런 작업을 중단하기 전까지 계속되었습니다.

HUMAN의 사토리 위협 정보팀은 IconAds라는 복잡한 광고 사기 작업을 성공적으로 방해하였습니다.

이 작업은 352개의 안드로이드 애플리케이션을 포함하며, 이들은 광고를 숨겨서 사용자가 감지하지 못하게 아이콘을 숨긴 채 광고를 은밀하게 로딩했습니다. IconAds의 일일 작업은 주로 브라질, 멕시코, 그리고 미국에서 출발한 12억 개의 광고 입찰 요청에서 정점을 찍었습니다.

이 앱들은 감지를 피하기 위해 진보된 난독화 전략을 사용했습니다. “IconAds의 주요 난독화 기법은 특정 값을 숨기기 위해 무작위로 보이는 영어 단어를 사용한다”고 Satori 연구원들이 설명했습니다.

공격자들은 또한 암호화된 라이브러리 내에 해로운 코드를 삽입하고, 각 애플리케이션마다 독특한 명령 및 제어 (C2) 도메인을 사용하여 트래픽을 숨겼습니다.

‘‘com.works.amazing.colour’’ 애플리케이션은 아이콘을 빈 흰색 원으로 바꾸고, 어떤 앱도 열지 않았음에도 불구하고 광고를 로드하였습니다. 다른 앱들은 Google Play나 Google Home과 같은 인기 앱들을 가장하면서, 백그라운드에서 조용히 작동하며 사기 광고를 제공하였습니다.

이들 앱은 활동을 숨기기 위해 설치 후에 보이는 부분을 비활성화하고 이름이나 아이콘 없는 별명을 사용했습니다. 경우에 따라서는 플레이 스토어에서 다운로드 받았는지 확인하기 위한 라이센스 체크를 포함했으며, 그렇지 않으면 실행을 거부했습니다. 또한 DeepLinking 서비스를 사용하여 악성 코드를 언제 활성화할지 결정하였습니다.

이들로부터 식별된 앱들은 구글 플레이에서 제거되었고, 구글 플레이 프로텍트는 이러한 위협에 대한 사용자 보호를 제공합니다.

HUMAN에 따르면, “광고 사기 방어를 위해 HUMAN과 파트너십을 맺은 고객들은 IconAds의 영향으로부터 지금까지, 그리고 앞으로도 보호받고 있습니다.”

이 공격은 모바일 광고 사기 운영이 점점 더 정교해지고 있음을 보여줍니다. 따라서 전문가들은 광고주, 플랫폼 개발자, 앱 개발자들이 모니터링 시스템을 강화하고, 투명성을 개선하며, 앞으로의 위협을 막기 위해 협력하도록 권장합니다.