맥아피 모바일 악성리서치팀은 Google Play 공식 스토어에서 유명한 앱의 해적판이 유통되고 있는 것을 발견했습니다. 해적판 앱은 대부분 공식 스토어에서 배포되는 정규 앱 (특히 유료 앱)을 수정하여 써드파티 마켓에서 재배포하는 것이 일반적입니다. 그러나 이번에 대담하게도 공식 스토어에서 해적판 앱이 배포되는 것을 발견했습니다.
이번에 발견한 해적판 앱은 'AE-funStudios'라는 개발자에 의해 개발된 4개의 앱으로, 앱의 이름은 각각 'Flashlight', 'Race Car', 'Gun Shoot', 'Chess'로 흔히 보이는 툴이나 게임이었고, 각각의 다운로드 수는 1만 ~ 10만으로 많은 사용자가 사용하는 앱이었습니다.
언뜻 보면 일반 앱처럼 보이는 이 앱들이 왜 불법인지, 이들 중 하나인 체스 앱(패키지 이름 : com.chess.chessfree.chessboard.chessgame.free)의 소프트웨어 구성을 들여다 봅시다. 이 게임 앱은 어셋폴더에 'ttttt'라는 이상한 파일이 포함되어 있습니다. 이 파일의 확장자는 없지만 해당 파일의 형식은 APK파일이고, 다른 앱 개발자에 의해 개발된 'Chess Free'라는 앱이 포함되어 있습니다. 해적판 앱은 실행 후 'VirtualCore'클래스를 사용하여 가상 공간을 만들고, 정규 앱을 가상 공간에 설치하여 실행합니다.
해적판 앱은 GitHub에서 오픈소스로 공개되는 'VirtualApp'라는 가상화 기술의 구성요소인 'com.lody.virtual'가 이용되고 있습니다. 따라서 이 구성요소 자체는 악의적인 것이 아닌 Android 8.0 Oreo에서 도입된 'Instant App'과 유사한 기술이며, 앱을 단말기에 설치하지 않고 가상 공간에서 앱을 동작시키기 위한 프레임워크를 제공합니다. 이 구성요소는 로컬 프로세스에 가상 메모리 공간을 생성하여 메모리 공간에 APK파일을 동적으로 로드하여 실행하는 구조로 작동하고 있습니다.
해적판 앱은 앱 실행 후 이 'VirtualApp'의 구성요소를 이용하여 포함된 APK파일을 단말기에 설치하지 않고 내부에 포함된 정규 앱 APK를 로드하여 마치 자신의 앱의 일부처럼 작동시키고 있습니다. 이 구조를 이용하여 악성코드 제작자는 앱 리패키지(공식 앱을 분해하여 악성코드를 삽입하고 다시 구축)를 할 필요없이 정규 앱을 그대로 유용하는 것이 가능하므로 트로이목마를 만들기가 쉬워집니다.
한편, 이 가상화 기술은 전능한 구조가 아니라서 모든 일반 앱이 가상 공간의 프레임워크에서 실행할 수 있는 것은 아닙니다. 리패키지 대책 등 악용 및 전용 방지 대책이 되어있는 정규 앱이라면 이 가상화의 구조를 사용해도 성공적으로 앱이 작동하지 않기 때문에 악용 및 전용될 위험은 매우 작습니다.
이 해적판 앱 개발자의 목적은 어디에 있을까요? 아래 스크린샷의 배포 화면에는 '광고를 포함'이라는 표시가 있는 것으로 보아, 모바일광고 수익을 얻고자 한 의도가 보여집니다. 그러나 이번에 분석한 해적판 앱에서는 광고를 표시시키는 코드 및 일반 앱의 통신을 감청하거나 변경하고 광고 수입을 훔치는 코드는 발견되지 않았습니다. 어쩌면 향후 앱 업데이트로 광고 수익을 얻으려고 계획하고 있었을지도 모릅니다.
광고 수입과는 다른 우려되는 시나리오로는, 이 해적판 앱 개발자가 개발자 계정을 범죄 조직에 판매하는 것을 계획하고 있었는지도 모릅니다. 한 조사사이트 정보에 따르면, Facebook과 Instagram 등의 계정은 '눈에 보이지 않는 데이터의 경제성' 보고서에 소개된 바와 같이, 암시장에서 고가로 거래되고 있습니다. 그리고 판매된 개발자 계정은 악성코드와 스파이웨어의 배포에 악용되어 버릴지도 모릅니다. 그 근거로 포함된 정규 앱은 모두 이 카테고리의 인기 앱이며 대략 100만에서 500만의 사용자를 확보하고 있습니다. 그 인기에 편승하는 형태로 불법 복제 버전이 배포되고 있기 때문에 필연적으로 사용자 수가 증가해 나갈 것을 예상할 수 있습니다.
맥아피 모바일 보안은 이러한 해적판 앱을 Android/PUP.Pirates.C로 감지하여 사용자의 단말기를 보호함과 동시에 정규 개발자의 권리를 보호합니다. 악성 앱에 대한 위협으로부터 자신의 단말기를 보호하기 위해 공식 스토어의 추천 앱과 인기있는 앱을 이용하십시오.
출처 참조 번역
Google Playストアで正規アプリをぶっこ抜いた海賊版の流通が発覚
https://ascii.jp/elem/000/001/563/1563036/amp/
'IT' 카테고리의 다른 글
| 해적판으로 돈벌이하는 범죄자들을 적발...불법사이트와 앱을 동결 (0) | 2020.09.13 |
|---|---|
| 패킷을 먹어 Wi-Fi 암호를 해독하는 전자펫키트 'Hash Monster' (0) | 2020.09.12 |
| 후면과 전면의 카메라로 동시에 촬영할 수 있는 앱 'Doubletake by FILMic PRO' (0) | 2020.09.12 |
| 'TikTok'이 다른 SNS와 확연히 구분되는 시스템이란 무엇인가 (0) | 2020.09.11 |
| TweakBox를 설치하는 방법! iPhone에서 App Store에 없는 앱을 다운로드하기 (0) | 2020.09.11 |
| 유료 앱을 크랙하여 무료로 사용하는 '비공식 앱스토어'의 실태 (0) | 2020.09.10 |
| AWS, Azure, GCP 이외의 '틈새' 클라우드를 선택하는 이유 (0) | 2020.09.10 |
| 멀티클라우드의 장점은 실현의 비용에 걸맞는 것인가? (0) | 2020.09.10 |
