게시자: Bernhard Grill, Megan Ruthven, Xin Zhao—보안 소프트웨어 엔지니어
Google은 다양한 기기와 환경에서 사용자를 보호하기 위해 열심히 노력하고 있습니다. 이런 노력의 일환으로
잠재적으로 유해한 애플리케이션(PHA)으로부터 사용자를 방어하는 작업이 포함됩니다. 이런 노력을 통해 저희는 Google의 에코시스템을 표적으로 하는 다양한 유형의 위협을 확인할 수 있는 기회를 얻었습니다. 예를 들어, 최근에 Google의 보안 팀은 Chamois라고 이름 붙인 새로운 PHA 제품군을 발견하고 이로부터 Google 광고 및 Android 시스템 사용자를 방어했습니다.
Chamois는 Android PHA 제품군으로, 다음과 같은 능력이 있습니다.
- 광고 내에 사기성 그래픽이 포함된 광고 팝업을 통해 잘못된 트래픽 생성
- 백그라운드에 앱을 자동으로 설치함으로써 인위적인 앱 홍보 수행
- 프리미엄 SMS를 보내어 전화 통신 사기 행위 수행
- 추가 플러그인 다운로드 및 실행
광고 에코시스템 방해
저희는 일상적인 광고 트래픽 품질 평가를 수행하는 동안 Chamois를 탐지했습니다. Chamois를 기준으로 악성 앱을 분석한 결과, 이러한 악성 앱이 여러 가지 방법을 사용하여 탐지를 피하고 사기성 그래픽을 표시하여 사용자가 광고를 클릭하도록 유인한다는 사실을 확인했습니다. 이에 따라 SMS 사기 행위를 저지르는 다른 앱을 다운로드하는 결과로 이어지는 경우가 있었습니다. 따라서 저희는
앱 인증을 사용하여 Chamois 앱 제품군을 차단했으며 광고 시스템을 이용하려는 악의적인 행위자들을 퇴출시켰습니다.
이와 같은 사기성 광고 앱에서 이전에 겪은 경험을 통해 광고주와 Android 사용자를 모두 보호하기 위한 신속한 조치를 취할 수 있었습니다. 이러한 악성 앱은 기기의 앱 목록에 나타나지 않았기 때문에 대부분의 사용자는 원치 않는 앱을 확인할 수 없거나 이런 앱을 제거해야 한다는 사실을 알지도 못했을 것입니다. 이것이 바로 Google의
앱 인증이 매우 유용한 이유입니다. 이를 통해 사용자는 PHA를 확인하고 삭제할 수 있습니다.
Chamois의 비밀
Chamois는 Android에서 지금까지 확인되고 여러 채널을 통해 배포된 가장 큰 PHA 제품군 중 하나였습니다. 저희가 아는 한, 최초로 Chamois를 공개적으로 식별하고 추적한 곳이 다름 아닌 Google입니다.
Chamois에는 다음을 포함하여 남다른 특징이 많았습니다.
- 다단계 페이로드: 아래 다이어그램에 나와 있는 것처럼, 코드가 각기 다른 파일 형식을 사용하여 4가지 개별 단계에서 실행됩니다.
이러한 다단계 프로세스의 경우, 악성 부분에 도달하려면 계층을 먼저 벗겨야 하기 때문에 이 제품군에 포함된 앱을 PHA라고 바로 식별하기가 더욱 복잡해집니다. 하지만, Google의 파이프라인은 이러한 시나리오에 올바르게 대응할 수 있도록 설계되었기 때문에 속지 않았습니다.
- 자체 보호: Chamois는 난독 처리 및 분석 방지 기법을 사용하여 탐지를 피하려고 했지만, Google 시스템은 이런 기법을 무너뜨려 앱을 탐지할 수 있었습니다.
- 맞춤형 암호화 저장소: 이 제품군은 구성 파일 및 추가 코드에 맞춤형 암호화 파일 저장소를 사용합니다. 따라서, PHA를 파악하기 위해 더 세밀하게 분석해야 했습니다.
- 규모: 저희 보안 팀은 전문가로 보이는 개발자들이 작성한 10만 라인 이상의 정교한 코드를 샅샅이 살펴봤습니다. 순전히 APK의 크기만으로도 Chamois를 세부적으로 파악하는 데 시간이 꽤 걸렸습니다.
PHA에 맞서는 Google의 접근 방식
앱 인증은 사용자가 PHA로 확인된 앱을 다운로드하려고 하면 경고를 표시함으로써 알려진 PHA로부터 사용자를 보호하고, 이러한 앱이 이미 설치된 경우에도 사용자가 앱을 제거할 수 있도록 지원합니다. 뿐만 아니라, 앱 인증은 Android 에코시스템의 상태에서 잘못된 부분이 있는지 모니터링하고 찾아낸 정보를 조사합니다. 또한, 기기에 대한 동작 분석을 수행하여 알려지지 않은 PHA를 찾는 데도 도움이 됩니다. 예를 들어, Chamois로 다운로드된 많은 앱이
DOI scorer에서 높은 점수를 받았습니다. 저희는 앱 인증에서 사용자를 Chamois로부터 보호하기 위한 규칙을 구현했습니다.
Google은 계속해서 Android 및 해당 광고 시스템에 대한 오용 방지 기술에 상당한 금액을 투자하고 있으며, 많은 팀이 Chamois와 같은 PHA에 대응하기 위해 보이지 않는 곳에서 일하고 있다는 데 대해 자긍심을 가지고 있습니다.
저희는 이번 요약 게시물이 점점 발전해 나가는 Android 봇넷의 복잡성에 대한 정보를 제공할 수 있기를 바랍니다. PHA를 방지하기 위해 Google이 쏟고 있는 노력에 대해 더 자세히 알아보고 이러한 PHA가 사용자, 기기 및 광고 시스템에 미치는 위험을 더욱 완화하기 위해 곧 발표 예정인 'Android 보안 2016 연간 검토(Android Security 2016 Year In Review)' 보고서에도 관심을 가지고 살펴보시기 바랍니다.
