안드로이드의 멀티태스킹 원리에서 비롯된 취약점, 공격자들은 이미 알고 있었다
구글 스토어에서 익스플로잇이 퍼지고 있어…일부 앱 삭제로 일단락했지만 근본 조치는 아냐
[보안뉴스 문가용 기자] 안드로이드 OS에서 새로운 취약점이 발견됐다. 이 취약점을 성공적으로 익스플로잇 할 경우 공격자는 정상적으로 설치된 앱을 통해 멀웨어를 심을 수 있게 된다. 동시에 사용자들 모르게 사용자를 추적하는 것도 가능하게 된다고 한다.
[이미지 = iclickart]
이 취약점을 발견한 건 노르웨이의 앱 보안 전문 업체인 프로몬(Promon)이며, 취약점에는 스트랜드호그(StrandHog)라는 이름이 붙었다. 스트랜드호그는 바이킹의 해안 침략 전략 중하나를 일컫는 오래된 노르웨이어다. 취약점 익스플로잇을 통해 정상적인 애플리케이션을 침략할 수 있기 때문에 정해진 이름이라고 한다. 스트랜드호그는 이미 사이버 공격자들 사이에서 활용되고 있으며, 공격자에게 루트 권한이 있어야만 하는 것도 아니며, 가장 최신 버전을 포함한 모든 안드로이드 버전에 영향을 준다고 한다.
공격자가 스트랜드호그를 통해 안드로이드 장비 장악에 성공하면 단문 메시지, 사진, 로그인 크리덴셜 등에 접근하는 게 가능하다. 그러면서 장비 사용자의 위치를 계속해서 추적할 수도 있게 되고, 통화도 녹음할 수 있으며, 스마트폰 카메라와 마이크도 장악해 각종 스파이 행위도 할 수 있게 된다.
체코 은행들에서 수상한 일들이…
프로몬은 고객사를 통해 스트랜드호그 취약점을 발견하게 되었다. 동유럽의 보안 업체였던 고객사가 체코 은행으로부터 수상한 돈이 입출금되는 것을 알아냈고, 이 현상의 뿌리를 추적하다가 스트랜드호그를 찾아낸 것이라고 한다. “안드로이드 사용자들이 ‘정상적인 앱을 사용하고 있다’고 믿게 하면서 악성 행위를 실시하는 공격이더군요.”
이에 프로몬은 미국의 보안 회사인 룩아웃(Lookout)과 협업 체제를 이뤘다. 연합 조사를 통해 36개의 악성 앱에서 스트랜드호그를 발견할 수 있었다. 심지어 안드로이드 환경에서 가장 인기가 높은 500개 앱들 역시 스트랜드호그에 악용 당할 위험이 있는 것으로 나타났다.
프로몬의 CTO인 톰 라이즈모스 한센(Tom Lysemose Hansen)에 의하면 “스트랜드호그 취약점에 대한 분석이 이뤄진 건 올해 봄과 여름”이라고 한다. “하지만 공격자들 사이에서 스트랜드호그가 알려지고 활용된 건 그보다 훨씬 전입니다.”
이번 조사(체코 은행과 관련된 사건)에 참여한 전문가들은 “스트랜드호그를 발견하게 한 최근 캠페인을 통해 공격자들은 약 60개의 금융 단체들을 표적으로 삼은 것으로 보인다”고 결론을 내렸다. 공격자들은 유명 뱅킹 트로이목마인 뱅크봇(BankBot)을 함께 사용하기도 했다.
공격의 원리
스트랜드호그는 안드로이드 OS 상에 존재한다. 보다 정확히 말하면 안드로이드가 여러 애플리케이션들이 생성한 프로세스들을 오가는 방식에 기인한다고 볼 수 있다. “즉 안드로이드가 구현하는 멀티태스킹이 취약점의 뿌리라는 겁니다. 여러 앱을 한꺼번에 돌리고, 이 앱에서 저 앱으로 바꿔서 실행할 때 스트랜드호그 취약점을 발동시킬 수 있습니다. 안드로이드 제어 옵션 중 하나인 태스크어피니티(taskAffinity) 때문입니다.”
연구원들에 따르면 태스크어피니티는 악성 앱이라고 할지라도 멀티태스킹 시스템 내에서 정상적인 아이덴티티를 가져갈 수 있게 해준다고 한다. “그래서 공격자들은 악성 앱을 준비하고, 해당 앱이 정상적인 척 위장하면서 필요한 허용 사항을 사용자에게 요청합니다. 정상 앱이 정상적인 내용을 요청하는 것처럼 보이니 사용자는 이것을 허락해줍니다. 너무 많은 걸 요청하면 사용자들도 의심할 법한데, 그런 점에서도 꽤나 조심스러운 면모를 보이는 것이죠.”
하지만 정상적인 허용 사항만 가지고는 악성 행위를 하는 데 있어 어려움이 있지 않을까? “공격을 하는 데에 문자 메시지에 대한 접근 권한 등 사용자의 추가 허용이 필요한 경우, 악성 앱은 계속해서 기다립니다. 사용자가 문자 메시지 앱을 실행시킬 때까지 기다리는 것이죠. 그리고 그 타이밍에 사용자의 허용을 요구하는 팝업 창을 띄웁니다. 사용자는 ‘문자 메시지 앱이 보낸 요청을 허락했다’고 착각하게 됩니다.”
스트랜드호그 익스플로잇이 포함된 악성 앱들은 현재 공식 구글 플레이 스토어에서 발견할 수 없다. 전부 삭제됐기 때문이다. “다만 정상 앱들을 드로퍼로서 활용하기 때문에, 앞으로도 비슷한 앱들이 계속해서 스토어에 등록되는 것을 막을 수는 없을 겁니다.”
프로몬은 스트랜드호그 취약점을 올해 여름 구글에 알렸다. 구글은 사건에 연루된 앱을 삭제하긴 했지만 스트랜드호그 취약점 자체를 아직 해결하지는 못하고 있다. 취약점이 보고되고서 90일이 지났지만 여전히 취약점은 해결되지 않은 채 남아있다. 90일은 구글이 타사 제품에서 취약점을 발견해 알리면서 주는 픽스 개발 기한이다.
3줄 요약
1. 구글 안드로이드 OS의 멀티태스킹에서 취약점 발견됨.
2. 이 취약점은 올해 초에 발견됐고, 공격자들은 그것보다 훨씬 전부터 알고 있었음.
3. 구글은 사건 관련 앱들만 삭제한 상태. 취약점의 근본적 해결은 아직.
[국제부 문가용 기자(globoan@boannews.com)]
구글 스토어에서 익스플로잇이 퍼지고 있어…일부 앱 삭제로 일단락했지만 근본 조치는 아냐
[보안뉴스 문가용 기자] 안드로이드 OS에서 새로운 취약점이 발견됐다. 이 취약점을 성공적으로 익스플로잇 할 경우 공격자는 정상적으로 설치된 앱을 통해 멀웨어를 심을 수 있게 된다. 동시에 사용자들 모르게 사용자를 추적하는 것도 가능하게 된다고 한다.
[이미지 = iclickart]
이 취약점을 발견한 건 노르웨이의 앱 보안 전문 업체인 프로몬(Promon)이며, 취약점에는 스트랜드호그(StrandHog)라는 이름이 붙었다. 스트랜드호그는 바이킹의 해안 침략 전략 중하나를 일컫는 오래된 노르웨이어다. 취약점 익스플로잇을 통해 정상적인 애플리케이션을 침략할 수 있기 때문에 정해진 이름이라고 한다. 스트랜드호그는 이미 사이버 공격자들 사이에서 활용되고 있으며, 공격자에게 루트 권한이 있어야만 하는 것도 아니며, 가장 최신 버전을 포함한 모든 안드로이드 버전에 영향을 준다고 한다.
공격자가 스트랜드호그를 통해 안드로이드 장비 장악에 성공하면 단문 메시지, 사진, 로그인 크리덴셜 등에 접근하는 게 가능하다. 그러면서 장비 사용자의 위치를 계속해서 추적할 수도 있게 되고, 통화도 녹음할 수 있으며, 스마트폰 카메라와 마이크도 장악해 각종 스파이 행위도 할 수 있게 된다.
체코 은행들에서 수상한 일들이…
프로몬은 고객사를 통해 스트랜드호그 취약점을 발견하게 되었다. 동유럽의 보안 업체였던 고객사가 체코 은행으로부터 수상한 돈이 입출금되는 것을 알아냈고, 이 현상의 뿌리를 추적하다가 스트랜드호그를 찾아낸 것이라고 한다. “안드로이드 사용자들이 ‘정상적인 앱을 사용하고 있다’고 믿게 하면서 악성 행위를 실시하는 공격이더군요.”
이에 프로몬은 미국의 보안 회사인 룩아웃(Lookout)과 협업 체제를 이뤘다. 연합 조사를 통해 36개의 악성 앱에서 스트랜드호그를 발견할 수 있었다. 심지어 안드로이드 환경에서 가장 인기가 높은 500개 앱들 역시 스트랜드호그에 악용 당할 위험이 있는 것으로 나타났다.
프로몬의 CTO인 톰 라이즈모스 한센(Tom Lysemose Hansen)에 의하면 “스트랜드호그 취약점에 대한 분석이 이뤄진 건 올해 봄과 여름”이라고 한다. “하지만 공격자들 사이에서 스트랜드호그가 알려지고 활용된 건 그보다 훨씬 전입니다.”
이번 조사(체코 은행과 관련된 사건)에 참여한 전문가들은 “스트랜드호그를 발견하게 한 최근 캠페인을 통해 공격자들은 약 60개의 금융 단체들을 표적으로 삼은 것으로 보인다”고 결론을 내렸다. 공격자들은 유명 뱅킹 트로이목마인 뱅크봇(BankBot)을 함께 사용하기도 했다.
공격의 원리
스트랜드호그는 안드로이드 OS 상에 존재한다. 보다 정확히 말하면 안드로이드가 여러 애플리케이션들이 생성한 프로세스들을 오가는 방식에 기인한다고 볼 수 있다. “즉 안드로이드가 구현하는 멀티태스킹이 취약점의 뿌리라는 겁니다. 여러 앱을 한꺼번에 돌리고, 이 앱에서 저 앱으로 바꿔서 실행할 때 스트랜드호그 취약점을 발동시킬 수 있습니다. 안드로이드 제어 옵션 중 하나인 태스크어피니티(taskAffinity) 때문입니다.”
연구원들에 따르면 태스크어피니티는 악성 앱이라고 할지라도 멀티태스킹 시스템 내에서 정상적인 아이덴티티를 가져갈 수 있게 해준다고 한다. “그래서 공격자들은 악성 앱을 준비하고, 해당 앱이 정상적인 척 위장하면서 필요한 허용 사항을 사용자에게 요청합니다. 정상 앱이 정상적인 내용을 요청하는 것처럼 보이니 사용자는 이것을 허락해줍니다. 너무 많은 걸 요청하면 사용자들도 의심할 법한데, 그런 점에서도 꽤나 조심스러운 면모를 보이는 것이죠.”
하지만 정상적인 허용 사항만 가지고는 악성 행위를 하는 데 있어 어려움이 있지 않을까? “공격을 하는 데에 문자 메시지에 대한 접근 권한 등 사용자의 추가 허용이 필요한 경우, 악성 앱은 계속해서 기다립니다. 사용자가 문자 메시지 앱을 실행시킬 때까지 기다리는 것이죠. 그리고 그 타이밍에 사용자의 허용을 요구하는 팝업 창을 띄웁니다. 사용자는 ‘문자 메시지 앱이 보낸 요청을 허락했다’고 착각하게 됩니다.”
스트랜드호그 익스플로잇이 포함된 악성 앱들은 현재 공식 구글 플레이 스토어에서 발견할 수 없다. 전부 삭제됐기 때문이다. “다만 정상 앱들을 드로퍼로서 활용하기 때문에, 앞으로도 비슷한 앱들이 계속해서 스토어에 등록되는 것을 막을 수는 없을 겁니다.”
프로몬은 스트랜드호그 취약점을 올해 여름 구글에 알렸다. 구글은 사건에 연루된 앱을 삭제하긴 했지만 스트랜드호그 취약점 자체를 아직 해결하지는 못하고 있다. 취약점이 보고되고서 90일이 지났지만 여전히 취약점은 해결되지 않은 채 남아있다. 90일은 구글이 타사 제품에서 취약점을 발견해 알리면서 주는 픽스 개발 기한이다.
3줄 요약
1. 구글 안드로이드 OS의 멀티태스킹에서 취약점 발견됨.
2. 이 취약점은 올해 초에 발견됐고, 공격자들은 그것보다 훨씬 전부터 알고 있었음.
3. 구글은 사건 관련 앱들만 삭제한 상태. 취약점의 근본적 해결은 아직.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
