Google Play의 사기 Android 앱이 섬뜩한 피치로 수백만 다운로드를 받았다

Source: Android Authority

TL;DR

• 연구원들은 전화, SMS, WhatsApp 기록을 어떤 번호에 대해서든 제공한다는 허위 주장으로 수십 개의 사기 Google Play 앱을 발견했습니다.
• 이 앱들은 Google이 제거하기 전까지 총 7.3 백만 회 이상의 다운로드를 기록했습니다.
• 앱은 사용자에게 비용을 청구하고 가짜 데이터를 반환했습니다.

안드로이드에서 사기 광고를 본 적이 있나요?

ESET 연구원들은 사기를 WeLiveSecurity 보고서에 자세히 설명했으며, 이 보고서에서는 해당 앱들을 **“CallPhantom”**이라고 통합적으로 부릅니다. 앱마다 외관은 달랐지만 트릭은 동일했습니다: 전화번호를 입력하고, 가상의 통화 기록을 열기 위해 결제한 뒤, 조작된 데이터를 받는 것이었습니다.

앱 동작

• 일부 앱은 무작위 전화번호를 생성하고, 이미 코드에 내장된 이름 및 통화 상세 정보와 짝지었습니다.
• 다른 앱은 “검색된” 기록이 전송될 이메일 주소를 사용자에게 요구했습니다.
• 이 앱들은 침해적인 권한을 요청하지 않았으며, 요청된 데이터를 실제로 접근할 수 있는 능력이 없었습니다.

결제 방식

• 몇몇 앱은 Google Play 공식 결제 시스템을 사용했으며, 이 경우 피해자가 환불을 청구할 수 있는 가능성이 있었습니다.
• 다른 앱은 서드파티 결제 앱이나 앱 내 직접 카드 결제 양식으로 사용자를 유도했습니다.
• 한 사례에서는 사용자가 앱을 떠나려고 할 때, 새로운 이메일처럼 보이는 기만적인 알림이 통화 기록 결과가 도착했다고 주장하고 구독 화면으로 다시 리다이렉트했습니다.

Google의 대응

ESET은 12월 16일에 28개의 앱을 Google에 신고했으며, 보고서가 공개될 때까지 모든 앱이 Google Play에서 삭제되었습니다. 사이드로드가 사기 방지 측면에서 더 많은 비판을 받지만, 이번 사건은 Play Store가 여전히 악성 앱에 거대한 청중을 제공할 수 있음을 상기시켜 줍니다(source).