HUMAN 연구팀이 구글플레이 앱 80개, 앱스토어 앱 9개가 광고 사기와 관련이 있다고 보고했다. 이들 앱은 1,300만 회 설치되어 사용자에게 광고를 게재하고 있다.
수법은 부정하게 광고를 표시하는 것이다. 광고를 표시하는 방법은 다양하다. 표시 방법 중 하나는 사용자가 광고에 액세스했을 때 정보를 얻고 해당 정보를 여러 차례 서버에 전송해 실제 수보다 많은 액세스를 한 것처럼 보이는 것이다. 그 밖에 기기 홈 화면에서 광고를 보고 백그라운드에서 광고를 게재하고 유명 앱인 척하고 광고주를 속여 광고비를 높이는 게 확인됐다.
이런 광고 사기를 하는 개발자 뒤에는 모두 동일한 위협자가 존재하는 것으로 보인다. 연구팀도 이 위협자를 2019년부터 인지하고 있었다고 한다. 2019년 연구팀은 40개 이상 안드로이드 앱이 공개적으로 광고 사기를 실시하고 있다는 걸 발견하고 앱 내 악의적 코드를 따서 포세이돈(Poseidon)이라고 명명해 조사를 실시했다.
포세이돈은 기기에 제공된 수신기라는 메커니즘을 이용해 광고를 게재했다. 수신기란 기기에 어떤 변경이 있을 때 앱에 이를 알리는 코드군으로 예를 들어 단말이 기내 모드가 된 걸 모니터링하고 기내 모드가 해제될 때까지 인터넷 접속을 중지하도록 앱에 지시하는 등 역할을 담당한다.
포세이돈은 광고를 게재하기 위한 트리거로 이 메커니즘을 악용했지만 이를 위한 코드를 숨기지 않았기 때문에 연구팀이 해당 존재를 노출시켰다. 한 차례 사라진 것처럼 보이는 포세이돈이지만 2020년 후반부터 2021년 초에 걸쳐 포세이돈 후게자가 나타났다는 것. 광고 표시 방식은 포세이돈과 마찬가지로 코드가 난독화되거나 특정 광고 플랫폼에 표적이 좁혀지는 등 진화했다. 연구팀은 그리스 신화에서 따와서 이 코드를 포세이돈의 딸 카립디스(Charybdis)로 명명해 조사하고 밝히는데 성공했다.
이어 이번에 새로운 난독화와 iOS 앱에 대한 대응을 끝내고 등장한 게 스킬라(Scylla)다. 스킬라 역시 그리스 신화에서 포세이돈 딸로 여겨지는 신 중 하나다. 연구팀은 스킬라를 공개한 뒤 구글과 애플에 보고하고 협력해 앱스토어마다 모든 앱을 삭제하고 있다. 연구팀은 대상 앱이 설치되어 있지 않은지 확인하고 설치됐다면 곧바로 삭제하라고 밝히고 있다. 관련 내용은 이곳에서 확인할 수 있다.