* 구글 온라인 시큐리티 블로그 - Enhanced Google Play Protect real-time scanning for app installs

https://security.googleblog.com/2023/10/enhanced-google-play-protect-real-time.html

* 9to5Google 기사 - Google Play Protect will prompt you to scan unknown apps before sideloading

https://9to5google.com/2023/10/18/google-play-protect-scan/

---

구글은 악의적인 공격자들이 검사를 피할 의도로 플레이 스토어 외 경로를 통해 안드로이드 기기에 악성코드를 감염시키는 것을 보고, 여기에 대응하여 플레이 프로텍트를 업데이트하고 검사 기능을 확장한다고 합니다.

이미 구글 플레이 스토어가 아닌 방법을 통해 앱을 설치할 때도(사이드로딩), 플레이 프로텍트가 기존 스캐닝 지능(existing scanning intelligence), 온디바이스 머신 러닝, 유사성 비교 등 여러 기술을 활용한 실시간 검사를 실행합니다. 구글은 '메시징 앱을 통한 직접 다운로드'가 일반적인 원인으로, 사회 공학적 전략이 사용된다고 언급하고 있습니다.

구글은 이제 플레이 프로텍트를 코드 수준(code-level)의 실시간 검사 기능으로 업데이트한다고 합니다. 이 기능은 '앱에서 중요한 신호를 파악하고, 플레이 프로텍트 백엔드 인프라로 보내 코드 평가를 실행합니다.' 즉 식별할 수 있는 특징을 바꿀 수 있는, 형태가 다양한(polymorphic) 악성코드 같은 새 위협을 파악하기 위한 것이라고 합니다.

새 플레이 프로텍트에서는 예전에 검사받지 않은 앱을 설치하려고 할 때 확인 창이 하나 나타납니다. 선택지 중에는 '앱 검사하기'와 '설치 안 함'이 있고, 구글에서 유해 앱으로 결정한 이유도 보여줍니다. 예를 들어 '앱이 데이터나 기기에 무단 접근할 수 있음'과 같은 이유일 수 있습니다.

새 검사 방법은 인도에서 먼저 시작해 향후 몇 달에 걸쳐 모든 나라로 확대할 예정입니다. 한편 플레이 프로텍트는 매일 1,250억 개 앱을 검사하며, 플레이 프로텍트 기능을 직접 끌 수도 있습니다.