IconAds 광고 사기

사이버 보안 연구원들이 수백 개의 사기성 안드로이드 앱을 이용한 광범위한 모바일 광고 사기 작전을 적발하고 해체했습니다. '아이콘애즈(IconAds)'로 명명된 이 캠페인은 정교한 회피 전략을 활용하고, 공식 앱 스토어에 침투하며, 의심하지 않는 사용자를 이용해 막대한 광고 수익을 챙겼습니다.

IconAds: 위장한 은밀한 광고 사기 작전

연구원들은 최근 IconAds라는 이름의 안드로이드 광고 사기 네트워크를 발견했습니다. 이 네트워크에는 352개의 악성 애플리케이션이 포함되어 있었습니다. 이 앱들은 사용자 화면에 직접 방해가 되는, 맥락과 무관한 광고를 표시하도록 설계되었으며, 기기 런처에서는 광고가 표시되지 않아 수동으로 삭제하는 것이 거의 불가능했습니다. 다행히 구글은 이 앱들을 Play 스토어에서 삭제했습니다.

IconAds 운영은 전성기에는 매일 최대 12억 건의 광고 입찰 요청을 생성했습니다. 트래픽은 주로 브라질, 멕시코, 미국에서 발생했으며, 이는 광범위하면서도 지역적으로 집중된 타겟팅 전략을 시사합니다.

IconAds는 완전히 새로운 악성코드는 아닙니다. HiddenAds나 Vapor와 같은 이름으로 추적되는 다른 알려진 위협들과 유사한 특징을 공유하는데, 이 두 위협은 최소 2019년부터 Play 스토어 보안을 반복적으로 우회해 왔습니다.

기만적인 전술과 지속적인 행동

IconAds의 핵심 전략은 은밀함과 끈기에 달려 있습니다. 이러한 앱은 다음과 같습니다.

• 네트워크 통신 중에 장치별 정보를 숨기려면 난독화를 사용합니다.
• 명령 및 제어(C2) 도메인에 대해 일관된 명명 패턴을 사용합니다.
• 앱의 기본 MAIN/LAUNCHER 활동을 별칭으로 바꿔서 앱의 표시 및 동작을 제어합니다.

앱 설치 시 처음에는 정상적인 라벨과 아이콘이 표시됩니다. 하지만 실행되면 숨겨진 활동 별칭이 활성화되어 재부팅 후에도 앱이 홈 화면에서 사라집니다. 이러한 교묘한 조작으로 인해 사용자가 앱을 쉽게 찾거나 제거할 수 없습니다.

궁극적인 목표는? 어떤 정상적인 앱을 사용하든 사용자에게 방해가 되는 전체 화면 삽입 광고를 게재하는 것입니다.

경우에 따라 IconAds 변종은 Google Play 스토어 또는 기타 신뢰할 수 있는 Google 브랜드 앱으로 위장합니다. 이러한 미끼 앱은 사용자를 합법적인 앱으로 리디렉션하는 동시에 백그라운드에서 은밀하게 사기 행위를 실행합니다.

회피와 진화: 움직이는 표적

IconAds가 발전함에 따라 새로운 버전에는 다음과 같은 추가적인 회피 계층이 통합되었습니다.

• 앱이 사이드로딩된 경우 악성 동작을 비활성화하는 라이선스 검사(보안 분석 중 일반적인 기술)
• 정적 및 동적 검사를 더욱 복잡하게 만들기 위해 향상된 난독화 기능을 제공합니다.

이러한 앱들은 의도적으로 수명이 짧으며, 탐지 후 신속하게 삭제된 후 수정된 코드와 새로운 아이덴티티로 다시 등장하는 경우가 많습니다. 연구원들은 IconAds가 앞으로도 계속해서 적응하고 다양한 모습으로 재등장할 가능성이 높다고 경고합니다.

만화경: 사악한 쌍둥이 앱의 부상

관련 발견으로, 전문가들은 연구자들이 '악의 쌍둥이' 기법이라고 부르는 기법을 사용하는 광고 사기 수법인 칼레이도스코프(Kaleidoscope)를 적발했습니다. 이 모델은 거의 동일한 두 버전의 앱을 포함합니다.

• Google Play 스토어에 호스팅된 무해한 '미끼 쌍둥이'입니다.
• 악의적인 '사악한 쌍둥이'가 타사 앱 스토어나 가짜 웹사이트를 통해 유포되었습니다.

악의적인 상대방은 사용자 상호 작용 없이 전체 화면 광고를 사용하여 사기성 광고 노출을 생성하고, 미끼와 동일한 앱 ID를 활용하여 광고주를 속여 가짜 참여에 대한 비용을 지불하게 합니다.

Kaleidoscope는 원래 CaramelAds SDK를 사용했던 Konfety라는 유사 시스템의 진화된 형태입니다. 최신 버전에서는 CaramelAds에 대한 참조가 삭제되었고, 핵심 기능이 Leisure, Raccoon, Adsclub과 같은 새로운 SDK에 다시 통합되어 추적 및 어트리뷰션을 차단합니다.

글로벌 도달 범위 및 상업적 관계

2024년 12월부터 2025년 5월까지 Kaleidoscope는 광범위한 Android 사용자, 특히 라틴 아메리카, 터키, 이집트, 인도 사용자에게 영향을 미쳤습니다. 이 지역들은 타사 앱 스토어의 높은 보급률로 인해 특히 취약합니다.

Kaleidoscope의 주요 특징은 다음과 같습니다.

• 사용자 입력 없이 실행되는 전체 화면 중간 광고입니다.
• 악성 앱 버전을 통해 전송되는 사기성 광고 조회.
• 합법적인 앱 ID를 사칭하여 광고 수익을 극대화합니다.

Kaleidoscope 수익화의 상당 부분은 합법적인 광고 수익화 서비스를 제공한다고 주장하는 포르투갈 회사 Saturn Dynamic에서 비롯된 것으로 추정됩니다. 그러나 이 회사의 인프라는 이러한 사기성 앱의 배포 및 수익화를 통해 대규모 광고 사기를 조장하는 데 중요한 역할을 한 것으로 보입니다.

마무리 생각: 끊임없이 변화하는 위협 환경

IconAds와 Kaleidoscope는 모바일 광고 사기의 진화하는 양상을 잘 보여줍니다. 이러한 공격은 유해한 활동을 무해한 앱 뒤에 숨겨 합법적인 행위와 악의적인 행위의 경계를 모호하게 만듭니다. 이러한 위협의 전술이 끊임없이 변화함에 따라, 앱 스토어, 개발자, 그리고 사용자 모두 경계를 늦추지 않고 사이버 보안 전문가가 점점 더 교묘해지는 사기 수법에 발 빠르게 대응하는 것이 매우 중요합니다.