Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
보안

안드로이드 루팅 트로이 목마 발견…정식 앱 스토어 배포에 광고까지

Lucian Constantin | CSO 2021.11.04
구글 플레이 스토어는 최근 몇 년간 악성코드를 더욱 잘 감시하고 공격에 대한 장벽을 높이며 과거보다 잘 대처했다. 하지만 정교하게 제작된 트로이 목마가 계속해서 구글 플레이 스토어에 침입하고 있다. 최근 발견된 앱스트랙에뮤(AbstractEmu)가 대표적이다. 유틸리티 앱으로 가장한 앱스트랙에뮤는 루트 취약점 공격으로 피해자의 장치를 완전히 통제할 수 있다.
 
ⓒ Getty Images Bank

보안 업체 룩아웃(Lookout) 연구진은 최근 발표한 보고서에서 “지난 5년 동안 루팅 악성코드 배포가 줄었기 때문에 앱스트랙에뮤는 아주 중요한 발견이다. 그동안 안드로이드 생태계가 성숙해지면서 여러 기기에 영향을 미치는 취약점 공격이 줄었고, 이로 인해 악성코드의 유용성도 줄어든 상황이다”라고 설명했다.

앱스트랙에뮤는 구글 플레이 스토어, 아마존 앱스토어, 삼성 갤럭시 스토어와 상대적으로 덜 알려진 앱토이드(Aptoide), APK퓨어(APKPure)에서도 발견됐다. 신뢰하는 앱 스토어에서 앱을 다운로드하면 모바일 장치의 공격 확률을 낮출 수 있지만, 절대적인 해법은 아니며 추가 보호 방안과 모니터링이 필요하다는 점을 일깨운다. 정기 OS 보안 패치가 적시에 배포되는 기기를 선택하고, 장치에 사용하는 앱 수를 제한하고, 불필요한 앱을 제거하는 것이 아주 중요하다. 


자금 탈취 목적의 글로벌 작전일 가능성 있어

룩아웃에 따르면, 앱스트랙에뮤는 비밀번호 관리 도구, 앱 런처, 데이터 세이버, 주변 조명 관련 도구, 광고 차단 도구, 기타 유틸리티 앱으로 가장한 19개 앱에서 발견됐다. 구체적인 앱 명칭은 안티 애드 브라우저(Anti-ads Browser), 데이터 세이버(Data Saver), 라이트 런처(Lite Launcher), 마이 폰(My Phone), 나이트 라이트(Night Light), 올 패스워드(All Passwords), 폰 플러스(Phone Plus)다. 라이트 런처는 구글 플레이 스토어에서 1만 회 이상 다운로드된 앱이다.

앱스트랙에뮤에 감염된 앱은 모두 정상적으로 작동하는 것으로 보인다. 즉, 공격자가 합법적인 앱을 악의적으로 수정한 뒤 이름을 바꿨을 가능성이 있다. 이들 앱은 앱 스토어에서 판매될 뿐 아니라 소셜 미디어와 안드로이드 관련 포럼에서 광고까지 되고 있었다. 광고는 주로 영어였으며, 베트남어도 1건 있었다. 

룩아웃 연구진은 “앱은 무작위로 배포됐으며, 루트 접근으로 광범위한 권한을 획득했다. 과거 금융 목적으로 배포된 공격과 일치하는 방법이다. 앱스트랙에뮤에는 뱅킹 트로이 목마에 대한 일반적인 권한도 포함되어 있어 공격자는 SMS로 발송되는 이중 인증 코드를 수신 권한을 획득하거나, 백그라운드에서 실행하면서 피싱 공격을 감행할 수 있다. 또 화면 내용 캡처, 접근 서비스처럼 장치와 원격 상호작용을 허용하는 권한도 포함돼 있었다. 공격자는 금융 앱을 비롯한 다른 앱과 상호작용할 수 있었다. 모두 랜섬웨어 아낫사(Anatsa)와 벌처(Vultur)에서 요청하는 권한과 유사하다”라고 설명했다. 

최소 17개 이상 국가에서 앱스트랙에뮤의 공격을 입은 것으로 나타났다. 피해 대상을 무작위로 지정하고 자금 탈취가 목적이지만, 앱스트랙에뮤는 폭넓은 스파이웨어 기능이 있으므로 다른 목적으로도 이용될 수 있다. 룩아웃 연구진은 공격자의 목적을 확인할 수 있는 C&C 서버의 최종 페이로드는 발견하지 못했다. 


루팅, 안티 에뮬레이션, 동적 페이로드 

앱스트랙에뮤에는 감염된 앱이 에뮬레이션 환경에서 실행되는지, 실제 장치에서 작동하는지 판단하는 코드가 포함되어 있었다. 구글 플레이 스토어는 다른 보안 업체와 마찬가지로 제출된 앱 코드를 스캔하기 전에 에뮬레이터에서 실행하기 때문에 매우 중요한 감지 회피 기법이다. 이런 방식은 장치의 시스템 속성과 설치된 앱 목록, 파일 시스템 확인 기능이 있는 오픈소스 라이브러리 에뮬레이터디텍터(EmulatorDetector)와 유사하다.

앱이 실제 장치에서 작동되고 있음을 감지하면, 공격자의 서버에 기기 제조업체와 모델, 버전, 일련 번호, 전화 번호, IP 주소, 시간대, 계정 정보와 같이 장치에 대한 추가 정보를 업로드한다. 이후 서버는 장치 정보를 이용해 루팅 여부를 판단한 뒤 취약점 공격으로 관리자 권한을 획득한다. 앱은 여러 가지 취약점 공격을 인코딩 형태로 묶어서 실행하며, 실행 순서는 C&C 서버의 응답으로 결정한다. 

앱스트랙에뮤에는 새로운 루트 취약점 공격과 기존 루트 취약점 공격이 모두 포함돼 있다. CVE-2020-0069, CVE-2020-0041, CVE-2019-2215(Qu1ckr00t), CVE-2015-3636(PingPingRoot), CVE-2015-1805(iovyroot)가 여기에 해당된다.

CVE-2020-0069는 미디어테크(MediaTek) 명령 대기열 드라이버(또는 CMDQ 드라이버)의 권한 상승 취약점이다. 미디어테크 기반 칩셋을 장착한 여러 제조 업체의 장치에 영향을 준다. 지난 2020년 3월에 패치가 배포됐지만, 지원 기간이 종료되거나 제조업체로부터 보안 업데이트를 받지 못한 장치는 여전히 CVE-2020-0069에 취약하다.

CVE-2020-0041도 2020년 3월 패치가 배포된 권한 상승 취약점으로, 안드로이드 바인더 컴포넌트에 영향을 준다. 최신 커널 버전에만 발생하는 취약점이다. 안드로이드 장치 대부분은 구 버전 커널을 사용한다.

최근 몇 년간 많은 안드로이드 주력 제품을 중심으로 안드로이드 보안 업데이트를 적시에 배포하기 시작했지만, 안드로이드 생태계의 파편화는 여전히 문제가 된다. 

제조업체는 칩셋과 펌웨어가 다른 제품군을 다양하게 보유하고 있다. 구글이 매월 패치를 배포하더라도 배포된 패치를 통합해 여러 장치에 펌웨어 업데이트를 배포하기까지 짧게는 며칠, 길게는 몇 달이 소요될 수 있다. 일반적으로 최신 장치와 고가 장치가 구형 장치보다 더 빨리 패치를 받지만, 제조업체별로 배포 시기에 차이가 있을 수도 있다. 

루팅 기능이 있는 악성코드가 안드로이드 출시 초기만큼 효과적으로 작동하는 것은 아니다. 최근 몇 년간 루팅 취약점 공격이 감소한 이유도 여기에 있다. 하지만 패치가 적용되지 않은 장치가 여전히 많고, 따라서 앱스트랙에뮤처럼 1년이 넘은 악성코드에도 취약한 기기가 생기는 것이다.

앱스트랙에뮤는 시스템 파티션을 수정하지 않으면서 감지를 어렵게 만드는 방법으로 루팅을 진행한다. 이는 안드로이드 스마트폰 루팅 오픈소스 솔루션인 매지스크(Magisk)의 바이너리와 쉘 스크립트를 복사한 것이다. 루팅에 성공하면 쉘 스크립트는 비밀리에 세팅 스토리지(Settings Storage)라는 앱을 설치하고, 사용자 허락 없이 연락처와 통화 기록, 메시지, 위치, 카메라, 마이크 등에 접근할 수 있는 권한을 부여한다. 

세팅 스토리지 앱 자체에는 악성 기능이 없다. 사용자가 이 앱을 열면, 일반적인 시스템 설정 앱이 실행된다. 그러나 세팅 스토리지는 C&C 서버에서 추가 페이로드를 실행해 권한을 악용한다. 룩아웃 연구진은 공격자의 사전 조치 때문에 C&C 서버의 추가 페이로드를 확보하지 못했다. 이 앱이 보안 제품이나 APK 코드 스캐너가 악성임을 감지하기 어렵게 설계된 것은 분명하다. 

룩아웃 연구진은 “앱스트랙에뮤의 명확한 공격 목적을 발견하지는 못했지만, 안드로이드 플랫폼이 성숙해지면서 드물어진 현대화된 대규모 루팅 악성코드 공격 작전에 대한 값진 정보를 얻을 수 있었다. 안드로이드 루팅이나 iOS 탈옥은 모바일 장치를 위험에 빠뜨리는 가장 빠른 방법이다. IT 전문가와 사용자는 사이버 범죄자가 가장 악용하기 좋은 도구가 모바일 장치라는 것을 명심해야 한다. 모바일 장치는 무수히 많은 기능이 있고, 민감한 데이터가 많기 때문이다”라고 설명했다. editor@itworld.co.kr
 Tags 트로이목마 악성코드

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.