Google Play 스토어의 수백 개 앱을 활용하여 여러 가지 불법 활동을 수행하는 “대규모 광고 사기 작전”에 대한 자세한 내용이 밝혀졌습니다.
캠페인의 코드명은 다음과 같습니다. 색종이 조각 – 러시아어로 사탕을 뜻하는 단어 – 러시아 기반 광고 네트워크인 CaramelAds와 관련된 모바일 광고 소프트웨어 개발 키트(SDK)를 남용한 혐의로 기소되었습니다.
HUMAN의 Satori 위협 정보팀은 The Hacker News와 공유한 기술 보고서에서 “Konfety는 위협 행위자가 주요 마켓플레이스에서 판매되는 ‘미끼 쌍둥이’ 앱의 ‘사악한 쌍둥이’ 버전을 운영하는 새로운 형태의 사기 및 난독화를 나타냅니다.”라고 밝혔습니다.
250개가 넘는 이러한 미끼 앱은 무해하며 Google Play Store를 통해 배포되지만, 각각의 “사악한 쌍둥이”는 광고 사기를 용이하게 하고, 웹 검색을 모니터링하고, 브라우저 확장 프로그램을 설치하고, APK 파일 코드를 사용자 기기에 사이드로드하도록 설계된 악성 광고 캠페인을 통해 배포됩니다.
캠페인의 가장 특이한 측면은 사악한 쌍둥이가 후자의 앱 ID와 광고 게시자 ID를 스푸핑하여 광고를 렌더링함으로써 미끼 쌍둥이로 위장한다는 것입니다. 미끼와 사악한 쌍둥이 앱 세트는 모두 동일한 인프라에서 작동하여 위협 행위자가 필요에 따라 운영을 기하급수적으로 확장할 수 있습니다.
그렇게 말했지만, 미끼 앱은 정상적으로 작동할 뿐만 아니라, 대부분은 광고를 렌더링하지도 않습니다. 또한 GDPR 동의 고지 사항을 통합합니다.
“이 ‘미끼/사악한 쌍둥이’ 난독화 메커니즘은 위협 행위자가 사기성 트래픽을 합법적인 것으로 표현하는 새로운 방식입니다.” HUMAN 연구원들이 말했습니다. “최고조에 달했을 때 Konfety 관련 프로그래밍 볼륨은 하루에 100억 건의 요청에 도달했습니다.”
다르게 말하면, Konfety는 SDK의 광고 렌더링 기능을 이용해 악성 트래픽과 합법적인 트래픽을 구별하기 훨씬 어렵게 만들어 광고 사기를 저질렀습니다.
Konfety라는 사악한 쌍둥이 앱은 APK 모드와 Letasoft Sound Booster와 같은 다른 소프트웨어를 홍보하는 악성 광고 캠페인을 통해 확산되는 것으로 알려져 있으며, 공격자가 제어하는 도메인, 손상된 WordPress 사이트 및 Docker Hub, Facebook, Google Sites, OpenSea를 포함하여 콘텐츠 업로드를 허용하는 다른 플랫폼에 호스팅된 함정이 있는 URL을 사용합니다.
이러한 URL을 클릭한 사용자는 악성 이블 트윈 앱을 다운로드하도록 속이는 도메인으로 리디렉션됩니다. 이 앱은 APK 파일의 자산에서 복호화된 1단계 악성코드를 드로퍼로 사용하여 명령 및 제어(C2) 통신을 설정하는 데 사용됩니다.
초기 단계는 앱 아이콘을 기기 홈 화면에서 숨기고, 사용자가 홈 화면에 있거나 다른 앱을 사용할 때 맥락에 맞지 않는 전체 화면 비디오 광고를 제공하여 사기를 수행하는 2단계 DEX 페이로드를 실행합니다.
“Konfety 작전의 핵심은 이블 트윈 앱에 있습니다.” 연구원들이 말했습니다. “이 앱은 해당 디코이 트윈 앱의 앱 ID/패키지 이름과 게시자 ID를 디코이 트윈 앱에서 복사하여 해당 디코이 트윈 앱을 모방합니다.”
“악의적인 쌍둥이 애플리케이션에서 파생된 네트워크 트래픽은 미끼 쌍둥이 애플리케이션에서 파생된 네트워크 트래픽과 기능적으로 동일합니다. 악의적인 쌍둥이가 렌더링한 광고 노출은 요청에서 미끼 쌍둥이의 패키지 이름을 사용합니다.”
이 맬웨어의 다른 기능으로는 CaramelAds SDK를 무기화하여 기본 웹 브라우저를 사용하여 웹사이트를 방문하거나, 가짜 링크를 클릭하도록 유도하는 알림을 보내 사용자를 유인하거나, 수정된 버전의 다른 광고 SDK를 사이드로딩하는 것이 있습니다.
그게 전부가 아닙니다. Evil Twins 앱을 설치하는 사용자는 기기 홈 화면에 검색 툴바 위젯을 추가하라는 권고를 받습니다. 이 위젯은 vptrackme(.)com 및 youaresearching(.)com이라는 도메인으로 데이터를 전송하여 검색을 은밀하게 모니터링합니다.
“위협 행위자들은 악성 앱을 스토어에 호스팅하는 것이 안정적인 기술이 아니라는 것을 알고 있으며, 탐지를 피하고 지속 가능한 장기 사기를 저지를 수 있는 창의적이고 영리한 방법을 찾고 있습니다.” 연구자들은 결론지었습니다. “중재 SDK 회사를 설립하고 고품질 퍼블리셔를 남용하기 위해 SDK를 퍼뜨리는 행위자들은 점점 더 늘어나는 기술입니다.”
