안드로이드의 내장 보안 엔진인 Google Play Protect에는 앱의 코드를 실시간으로 분석하고 앱이 잠재적으로 해로운 것으로 간주되면 설치를 차단하는 새로운 기능이 있습니다.
Google은 지난 10월에 Google Play Protect에 내장된 새로운 실시간 앱 스캐닝 기능을 발표했으며, 이 기능을 통해 악성 또는 가짜 사이드로드 앱을 앱 스토어 외부에서 설치할 때 잡을 수 있다고 합니다. 이러한 앱들은 외관을 변형하거나 인공 지능을 사용하여 앱의 코드를 변경하여 감지를 피하려고 합니다.
Google은 이 Play Protect 기능이 이제 이전에 스캔되지 않았던 모든 새로운 앱에 대한 실시간 앱 스캔을 권장한다고 말했습니다. 이것은 앱에서 중요한 신호를 추출하고 이를 코드 수준 평가를 위해 Play Protect 백엔드 인프라로 보내는 코드 분석으로 이루어집니다.
안드로이드 앱 스토어에는 Google이 악성 코드를 검사하는 수십억 개의 앱이 있지만 항상 성공적으로 차단되지는 않습니다. 많은 디바이스 소유자는 또한 앱 스토어를 우회하고 그것의 다양한 방어 라인을 무시하는 안드로이드 앱을 사이드로딩하는 경향이 있습니다. 사이드로딩은 앱이 악의적이지 않다는 신뢰를 가져야 하는 경우라도 안드로이드 사용자들 사이에서 여전히 인기 있는 기능입니다.
Google이 향상된 실시간 코드 수준 스캐닝 기능을 도입한 주요 이유 중 하나는 피해롭게 대출 앱들이 급증한 것을 대응하는 것입니다. 이러한 앱은 사용자의 괴롭힘이 발생하고 때로는 피해자가 자살하는 경우도 있습니다. 악의적인 행위자들은 사용자 데이터에 액세스하고 연락처 및 사진을 비롯한 데이터를 사용하여 사용자를 괴롭히기 위해 이를 활용합니다. TechCrunch는 인도 사용자에게 악의적인 대출 앱의 영향을 상세히 다루었습니다. Google은 이러한 정책 요구 사항을 위반한 앱을 1년 동안 3,500개 이상 폐쇄했다고 밝혔습니다. 공격자들은 여전히 피해자를 대상으로 하는 방법을 찾고 있습니다.
“우리의 정책은 Play 스토어에 나쁜 앱이 나오기 어렵게 만들고 있습니다. 하지만 나쁜 행위자들은 창의적이며, 사람들을 속이는 새로운 방법을 찾고 있기 때문에 추가 조치를 취합니다.”라고 Saikat Mitra, Google의 APAC 신뢰 및 안전 담당자가 지난 달 뉴델리에서 Google for India 이벤트에서 업데이트를 발표할 때 말했습니다.
Google은 처음에 Play Protect 업데이트를 인도에서 출시하며 곧 국제적으로 확장할 계획입니다. TechCrunch는 이 기능을 시험해 보기 위해 악성 앱과 나쁜 앱을 가득 채운 휴대전화를 사용하여 어떤 것이 통과하는지 확인해보았습니다.
스토커웨어 및 스파이웨어부터 악의적인 대출 앱과 인기 앱의 가짜 복제품까지 30개 이상의 다양한 악성 앱을 설치하려고 시도했습니다. Google Play Protect는 거의 모든 악성 앱을 “알려지지 않은 개발자의 앱은 때로는 안전하지 않을 수 있습니다”와 “이 앱은 개인 데이터를 스파이하려고 시도합니다. 예를 들어 SMS 메시지, 사진, 오디오 녹음 또는 통화 기록과 같은 개인 데이터” 또는 “이 앱은 가짜입니다” 등과 같은 경고와 함께 차단했습니다. 그러나 일부 최근에 만들어진 대출 앱은 성공적으로 설치되었습니다.
Play Protect 업데이트의 범위를 테스트하기 위해 Android 14에 실시간 코드 수준 스캐닝을 갖춘 최신 Google Play Store가 있는 Pixel 7a를 사용했습니다.
우리는 Pixel 7a에서 테스트를 시작하면서 감지를 피하려고 코드를 변경한 스파이웨어 앱을 설치하려고 노력했습니다. (악의적인 성격 때문에 이러한 앱의 이름이나 링크를 제공하지 않습니다.) 상용 감시 앱인 스토커웨어 또는 배우자를 감시하는 앱은 일반적으로 사람의 전화에 물리적 액세스 권한을 갖는 사람, 종종 배우자나 동반자,에 의해 몰래 설치됩니다. 이러한 스파이웨어 앱은 해당 전화의 내용을 무음으로 계속해서 업로드하며, 메시지, 사진 및 실시간 위치 데이터를 포함하며 전화가 침해당한 사람들에게 심각한 보안 및 개인 정보 보호 위험을 제공합니다.
우리가 스파이웨어와 스토커웨어를 설치하려고 할 때마다 Play Protect가 개입했습니다. 이 기능은 이러한 앱이 설치되지 못하게 차단했고, 이 앱을 “해로운”으로 표시했습니다.
또한 유명한 Android 앱으로 위장한 손상된 대출 앱을 몇 개 선택했습니다. 이 대출 앱은 사기 예방을 위한 척 하에 장치의 연락처 목록을 서버에 업로드하며, 대출 담당자들은 이 액세스를 사용하여 연락처에 위협적이고 협박적인 메시지와 전화를 보낼 수 있습니다. 손상된 대출 앱 중 하나의 랜딩 페이지는 일반 Google Play 목록처럼 보였지만 사용자는 앱 스토어 외부에서 앱을 다운로드하고 수동으로 설치해야 했습니다.
테스트 당시 Play Protect 업데이트는 5개의 손상된 대출 앱을 설치하는 것을 제한하지 않았습니다.
또한 Google Play에 나열된 다른 인기 앱의 가짜 버전으로 보이는 앱을 설치하려고 시도했습니다. 우리가 시험한 앱은 유사한 이름을 가지고 있으며 거의 동일한 디자인과 사용자 경험을 제공하지만 분명히 개발이 미흡한 모방품입니다. 가짜 앱 중 하나는 인기 있는 게임을 흉내 내었고 다른 하나는 널리 사용되는 VPN 앱으로 위장했습니다.
Play Protect는 이 두 가짜 앱을 설치하는 것을 허용했지만, 이 가짜 앱이 처음에 개발된 목적은 불분명합니다.
“이 최근 업데이트를 통해 Google Play Protect에 코드 수준에서 실시간 스캐닝을 추가하여 Google Play에서 다운로드되었든 그렇지 않든 새로운 악성 앱에 대항합니다.”라고 Google 대변인 Scott Westover가 TechCrunch에 이메일로 연락했을 때 말했습니다. “이러한 기능은 안드로이드 생태계를 대상으로 하는 새로운 유형의 위협을 수집하고 분석함에 따라 시간이 지남에 따라 계속 발전하고 개선될 것입니다.”
사이드로딩은 어떤 Android 앱이든 설치할 수 있는 자유를 제공하지만 위험 없이 그럴 수는 없습니다. 빠르게 외관과 코드를 변경하는 앱의 계속적인 쇄도에 직면하여 Google의 신규 실시간 앱 스캐닝 기능은 수십억 사용자를 위한 중요한 마지막 방어선이며, 시간이 흐를수록 개선될 것입니다.