구글 플레이에서 6천만 회 이상 다운로드된 악성 안드로이드 애플리케이션이 광고 사기 및 사용자 정보 탈취를 목적으로 배포된 정황이 드러났다. 이른바 ‘Vapor’로 명명된 이 악성 앱들은 정상적인 기능을 제공하는 것처럼 보이지만, 사용자 기기에 설치된 후 광고 사기를 수행하거나 계정 정보 및 신용카드 정보를 탈취하는 행위를 한 것으로 밝혀졌다.
‘Vapor’ 캠페인은 IAS Threat Lab에 의해 처음 발견되었으며, 초기 조사에서 180개의 악성 앱이 매일 2억 건 이상의 광고 입찰 요청을 생성하며 대규모 광고 사기에 연루된 것으로 확인됐다. 이후 보안업체 비트디펜더가 조사한 결과, 악성 앱의 수는 331개로 늘어났으며, 브라질, 미국, 멕시코, 터키, 한국 등 여러 국가에서 감염 사례가 다수 보고됐다.
이 악성 앱들은 건강 관리, 피트니스 트래킹, 메모 및 다이어리 작성, 배터리 최적화, QR 코드 스캐너 등 유용한 기능을 제공하는 것처럼 위장했다. 대표적인 앱으로는 다음과 같은 것들이 포함된다.
-AquaTracker – 1백만 다운로드
-ClickSave Downloader – 1백만 다운로드
-Scan Hawk – 1백만 다운로드
-Water Time Tracker – 1백만 다운로드
-Be More – 1백만 다운로드
-BeatWatch – 50만 다운로드
-TranslateScan – 10만 다운로드
-Handset Locator – 5만 다운로드
이 앱들은 다양한 개발자 계정을 이용해 구글 플레이에 업로드되었으며, 각 계정이 소수의 앱만 게시하는 방식으로 운영됐다. 이는 특정 앱이 삭제될 경우 전체 네트워크가 차단되는 위험을 줄이기 위한 전략으로 보인다. 또한, 각 퍼블리셔가 다른 광고 SDK를 사용해 보안 탐지를 피하는 방법을 활용했다. 이 앱들은 2024년 10월부터 2025년 1월 사이에 집중적으로 등록되었으며, 일부는 2025년 3월까지도 업로드가 지속됐다.
이들 악성 앱은 사용자가 설치한 후 안드로이드 시스템에서 실행 아이콘을 숨기기 위해 AndroidManifest.xml 파일에서 Launcher Activity를 비활성화하는 기법을 사용했다. 일부 앱은 설정에서 자신의 이름을 ‘Google Voice’ 등으로 위장해 사용자 기기에 상주하는 것을 숨겼다.
주요 악성 행위는 광고 사기다. 이러한 앱들은 전체 화면을 가리는 광고를 띄워 사용자가 정상적인 앱 사용을 방해받도록 만들었다. 특히, ‘뒤로 가기’ 버튼이 비활성화되어 사용자가 광고 창을 닫을 수 없도록 설정됐으며, ‘최근 실행 앱’ 목록에서도 사라져 어떤 앱이 광고를 실행했는지 쉽게 파악할 수 없게 만들었다.
일부 앱은 광고 사기를 넘어 피싱 공격까지 수행한 것으로 밝혀졌다. 사용자가 페이스북이나 유튜브 로그인 페이지로 오인하도록 가짜 로그인 화면을 띄워 계정 정보를 입력하도록 유도했으며, 신용카드 정보를 요구하는 가짜 결제 화면을 보여주는 방식도 사용됐다.
보안 전문가들은 구글 플레이에서 앱을 다운로드할 때도 신중해야 한다고 경고했다. 특히, 불필요한 앱 설치를 피하고 앱이 요구하는 권한을 철저히 검토할 것을 권장했다. 예를 들어, QR 코드 스캐너 앱이 연락처나 메시지 접근 권한을 요구하는 경우 정상적인 앱이 아닐 가능성이 크다.
또한, 기기에서 예상치 못한 광고가 자주 나타나거나 배터리 소모가 급격히 증가하는 등의 이상 징후가 발견될 경우, 해당 앱을 삭제하고 기기를 점검하는 것이 필요하다. 신뢰할 수 있는 보안 소프트웨어를 활용해 정기적으로 악성 앱을 검사하는 것도 효과적인 방법이다.
구글은 이번 ‘Vapor’ 악성 앱들을 모두 삭제했다고 발표했지만, 보안 전문가들은 이와 유사한 위협이 앞으로도 계속될 가능성이 높다고 지적했다. 이에 따라 사용자는 지속적으로 보안 위협에 대한 경각심을 유지하고, 앱 다운로드 시 더욱 신중해야 한다.
[K-CTI 2025] 국내 최대 사이버위협·침해사고대응 인텔리전스 컨퍼런스 개최(7시간 교육이수)
-주최: 데일리시큐
-일시 2025년 4월 15일(화) / 오전 9시~오후 5시
-장소: 한국과학기술회관 국제회의실 및 로비
-인원: 정보보호 실무자 700여 명(현업 보안책임자/실무자만 참석 가능)
-참가비: 현업 보안실무자는 무료
-교육이수: 공무원 및 일반기업 보안교육 7시간/CPPG, CISSP 등 교육이수 7시간 인정
-등록마감: 2025년 4월 13일 오후 5시까지
-참석불가: 학생, 프리랜서, 무소속, 정보보호 업무와 상관없는 자는 참석불가
-참관 및 참가기업 문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com
-사전등록 필수: 클릭
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
![[주의] 심각한 윈도우 제로데이 취약점, 2017년부터 11개 국가 지원 해킹 그룹에 악용돼](https://www.dailysecu.com/news/photo/202503/164671_192996_912.jpg)
