새로 발견된 악성 광고 앱 운영의 배후에 있는 위협 행위자들은 최소 2019년부터 활동해 왔지만, 이들의 진화를 추적하는 연구원들은 이 그룹이 이전의 Android 관련 공격을 넘어 iOS 생태계까지 확장하면서 더욱 정교해졌다고 보고했습니다.
Human Security의 Satori 연구팀 연구원에 따르면 최신 캠페인에는 Google Play 스토어에 숨어 있는 80개의 Android 앱이 포함되었으며, 특히 Apple App Store에는 9개가 있었습니다. 팀에서는 악성 애플리케이션이 최소 13만 번 다운로드되었다고 보고했습니다.
다운로드가 완료되면 악성 애플리케이션 다른 앱을 스푸핑하여 디지털 광고 조회수를 늘리고, 사용자가 볼 수 없는 숨겨진 광고를 재생하여 사기 조회수를 얻고, 심지어 합법적인 광고 클릭을 추적하여 나중에 더욱 설득력 있게 가짜로 만들 수 있는 그룹의 능력을 연마합니다.
공식 스토어에서 해당 앱을 제거해야 한다고 표시한 연구팀은 이를 공격 그룹 Scylla의 최신 버전이라고 부릅니다. 그룹의 초기 버전은 Poseidon, 그 다음에는 Charybdis라고 불렸습니다. 스킬라(Scylla)는 세 번째 공격의 물결입니다. 휴먼팀은 보고서에서 위협 행위자들로부터 이렇게 설명했습니다.
휴먼 팀은 이 발견에 대해 “포세이돈의 손녀 이름을 딴 Scylla의 파괴에 대한 오늘 발표는 이 계획 뒤에 있는 위협 행위자들의 새로운 진화를 반영합니다.”라고 말했습니다. "Poseidon과 Charybdis의 운영은 전적으로 Android 앱에 집중되어 있는 반면, Satori 팀은 Scylla가 iOS 앱도 표적으로 삼고 디지털 광고 생태계의 다른 부분으로 공격을 확대했다는 증거를 발견했습니다."
Human Security는 Google 및 Apple과 협력하여 악성 애플리케이션을 제거했으며 광고 소프트웨어 개발 키트 개발자와 계속 협력하여 캠페인의 결과를 완화하고 있습니다.
Human 팀은 “이러한 전술은 Charybdis 작전에서 처음 관찰된 난독화 기술과 결합되어 Scylla 배후에 있는 위협 행위자가 더욱 정교해졌음을 보여줍니다.”라고 덧붙였습니다. “이것은 지속적으로 공격이 발생하므로 사용자는 보고서에 있는 앱 목록을 참고하여 모든 기기에서 해당 앱을 제거하는 것을 고려해야 합니다.”
