안드로이드 TV 생태계에 새로운 멀웨어가 나타났다. 일종의 백도어이며, 스스로 권한을 높여 피해자 장비 내에서 여러 가지 명령을 실행한다. 하지만 아직 공격자들의 궁극적 목적에 대해서는 알려지지 않고 있다. 펌웨어 업그레이드와 최신화가 현재로서는 가장 중요하다.
[보안뉴스 문정후 기자] 보안 업체 닥터웹(Doctor Web)의 전문가들이 안드로이드 TV 생태계에서 또 다른 위협을 발견했다. 새 멀웨어인데, 이름은 안드로이드보이드(Android.Vo1d)라고 한다. 이미 130만 대 이상의 안드로이드 TV 장비들을 감염시켰는데, 무려 197개국에 걸쳐 피해자들이 발견되고 있다. 안드로이드보이드는 일종의 백도어로, 공격자의 명령에 따라 추가 서드파티 소프트웨어를 다운로드 받아 설치하는 것도 가능한 것으로 분석됐다.
[이미지 = gettyimagesbank]
닥터웹이 일부 감염 사례들을 조사했을 때 다음 객체들이 공통적으로 검출되는 것을 확인할 수 있었다고 한다.
1) install-recovery.sh : 대부분 안드로이드 장비들에 존재하는 스크립트로, OS 상에서 특정 요소를 자동으로 실행한다. 안드로이드보이드의 경우 아래 나오는 wd라는 파일을 자동으로 시작하기 위해 이 스크립트를 활용하고 있었다.
2) daemonsu : 역시 많은 안드로이드 장비들에 존재하며, 루트 접근 권한을 가지고 있는 게 보통이다. 사용자에게 루트 권한을 부여하는데, 안드로이드보이드의 경우 이를 이용해 wd가 자동으로 발동될 수 있도록 설정한다.
여기에 더해 4개의 파일들도 발견됐다.
1) /system/xbin/vo1d
2) /system/xbin/wd
3) /system/bin/debuggerd
4) /system/bin/debuggerd_real
이 중 1)번과 2)번 파일이 안드로이드보이드를 구성하고 있었다. 감염 사례에 따라 다른 파일들이 안드로이드 TV 장비에서 발견되기도 했다.
“각종 요소들과 파일들을 분석했을 때 나오는 결론은 하나였습니다. 공격자들이 최소 세 가지 기법을 활용해 안드로이드보이드를 피해자의 시스템 내에 침투시키고 있다는 겁니다.” 닥터웹은 이 세 가지 기법을 다음과 같이 정리한다.
1) install-recovery.sh의 조작
2) daemonsu의 조작
3) debuggered의 대체
이 셋 중 하나를 통하여 안드로이드보이드가 자동으로 피해자 시스템에서 시작되도록 하는 것이 공격자들의 전략인 것으로 현재까지 파악되고 있다.
세 가지 기법 중 하나를 활용했을 때 처음 피해자 시스템 내부로 침투되는 건 위에서 언급된 vo1d라는 파일이다. 이 vo1d가 실행되면 wd 파일이 연이어 실행되며, 이 wd는 C&C 서버와 연결돼 공격자의 추가 명령을 기다린다. 새로운 실행파일을 설치할 수도 있고, 새로운 명령을 실행할 수도 있다. 대부분의 경우 데몬을 하나 설치하게 되는데, 이 데몬은 파일 역시 실행파일을 새로 다운로드 받아 실행시키는 기능을 가지고 있다. 그 외에 특정 디렉토리를 모니터링 하고, APK 파일을 설치하기도 한다.
“현재까지 피해 사례는 브라질, 모로코, 파키스탄, 사우디아라비아, 러시아, 아르헨티나, 에콰도르, 튀니지, 말레이시아, 알제리, 인도네시아에서 가장 많이 발견되고 있습니다. 총 190개국이 넘는 나라에서 피해가 신고되고 있는데, 이 나라들이 피해 측면에서 가장 앞서고 있습니다.” 닥터웹의 설명이다.
공격자들은 왜 다른 안드로이드 장비들이 아니라 TV들을 노렸을까? 여기에는 여러 가지 이유가 있을 수 있지만 닥터웹은 “안드로이드 TV는 다른 장비들에 비해 오래된 안드로이드 버전을 기반으로 하고 있을 때가 많기 때문”이라고 추정한다. 즉 취약점이 발견된 상태 그대로 사용되고 있다는 것이다. "저희가 피해자들 중 일부와 직접 연락을 하기도 했었는데, 안드로이드 7.1을 사용하는 사람들이 적지 않았습니다. 조금 더 나아봐야 버전 10을 사용하고 있거나요. 저렴한 안드로이드 TV 제품들 중에서는 이런 사례가 대단히 많았습니다.”
또한 안드로이드 TV에 백신 제품을 설치하는 사례는, 안드로이드 스마트폰에 비교했을 때 현저히 낮은 것으로 나타나기도 했다. 그렇다는 건 공격 난이도가 현격히 낮아진다는 뜻으로, 이는 공격자들에게 꽤나 큰 매력으로 다가갈 수 있다. “심지어 안드로이드 TV 장비를 탈옥시켜 사용하는 사람들도 많죠. 탈옥을 시킨 후 정상적으로는 허용되지 않는 앱을 설치하는 게 보통이고요. 이런 사용자의 행동 패턴들은 전부 공격 통로가 될 수 있습니다.”
아직 안드로이드보이드를 퍼트리고 운영하는 자들의 정체에 대해서는 닥터웹도 알 수 없다는 입장이다. “이 멀웨어의 출처조차도 아직 알 수 없습니다. 안드로이드 TV를 통해 얻어가는 것 역시 아직 불분명합니다. 최대한 빠르게 적절한 방어 도구를 활용해 숨겨진 위험 요소들을 찾아 정리하고, 권한 설정 역시 검토하는 것이 필요합니다.”
3줄 요약
1. 안드로이드보이드라는 멀웨어가 200여개국에 퍼지고 있음.
2. 안드로이드 TV를 감염시키는 멀웨어로 이미 130만대가 감염됨.
3. 아직 정확한 감염 방법이나 감염의 궁극적 목적은 알 수 없음.
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 보안 업체 닥터웹(Doctor Web)의 전문가들이 안드로이드 TV 생태계에서 또 다른 위협을 발견했다. 새 멀웨어인데, 이름은 안드로이드보이드(Android.Vo1d)라고 한다. 이미 130만 대 이상의 안드로이드 TV 장비들을 감염시켰는데, 무려 197개국에 걸쳐 피해자들이 발견되고 있다. 안드로이드보이드는 일종의 백도어로, 공격자의 명령에 따라 추가 서드파티 소프트웨어를 다운로드 받아 설치하는 것도 가능한 것으로 분석됐다.
[이미지 = gettyimagesbank]
닥터웹이 일부 감염 사례들을 조사했을 때 다음 객체들이 공통적으로 검출되는 것을 확인할 수 있었다고 한다.
1) install-recovery.sh : 대부분 안드로이드 장비들에 존재하는 스크립트로, OS 상에서 특정 요소를 자동으로 실행한다. 안드로이드보이드의 경우 아래 나오는 wd라는 파일을 자동으로 시작하기 위해 이 스크립트를 활용하고 있었다.
2) daemonsu : 역시 많은 안드로이드 장비들에 존재하며, 루트 접근 권한을 가지고 있는 게 보통이다. 사용자에게 루트 권한을 부여하는데, 안드로이드보이드의 경우 이를 이용해 wd가 자동으로 발동될 수 있도록 설정한다.
여기에 더해 4개의 파일들도 발견됐다.
1) /system/xbin/vo1d
2) /system/xbin/wd
3) /system/bin/debuggerd
4) /system/bin/debuggerd_real
이 중 1)번과 2)번 파일이 안드로이드보이드를 구성하고 있었다. 감염 사례에 따라 다른 파일들이 안드로이드 TV 장비에서 발견되기도 했다.
“각종 요소들과 파일들을 분석했을 때 나오는 결론은 하나였습니다. 공격자들이 최소 세 가지 기법을 활용해 안드로이드보이드를 피해자의 시스템 내에 침투시키고 있다는 겁니다.” 닥터웹은 이 세 가지 기법을 다음과 같이 정리한다.
1) install-recovery.sh의 조작
2) daemonsu의 조작
3) debuggered의 대체
이 셋 중 하나를 통하여 안드로이드보이드가 자동으로 피해자 시스템에서 시작되도록 하는 것이 공격자들의 전략인 것으로 현재까지 파악되고 있다.
세 가지 기법 중 하나를 활용했을 때 처음 피해자 시스템 내부로 침투되는 건 위에서 언급된 vo1d라는 파일이다. 이 vo1d가 실행되면 wd 파일이 연이어 실행되며, 이 wd는 C&C 서버와 연결돼 공격자의 추가 명령을 기다린다. 새로운 실행파일을 설치할 수도 있고, 새로운 명령을 실행할 수도 있다. 대부분의 경우 데몬을 하나 설치하게 되는데, 이 데몬은 파일 역시 실행파일을 새로 다운로드 받아 실행시키는 기능을 가지고 있다. 그 외에 특정 디렉토리를 모니터링 하고, APK 파일을 설치하기도 한다.
“현재까지 피해 사례는 브라질, 모로코, 파키스탄, 사우디아라비아, 러시아, 아르헨티나, 에콰도르, 튀니지, 말레이시아, 알제리, 인도네시아에서 가장 많이 발견되고 있습니다. 총 190개국이 넘는 나라에서 피해가 신고되고 있는데, 이 나라들이 피해 측면에서 가장 앞서고 있습니다.” 닥터웹의 설명이다.
공격자들은 왜 다른 안드로이드 장비들이 아니라 TV들을 노렸을까? 여기에는 여러 가지 이유가 있을 수 있지만 닥터웹은 “안드로이드 TV는 다른 장비들에 비해 오래된 안드로이드 버전을 기반으로 하고 있을 때가 많기 때문”이라고 추정한다. 즉 취약점이 발견된 상태 그대로 사용되고 있다는 것이다. "저희가 피해자들 중 일부와 직접 연락을 하기도 했었는데, 안드로이드 7.1을 사용하는 사람들이 적지 않았습니다. 조금 더 나아봐야 버전 10을 사용하고 있거나요. 저렴한 안드로이드 TV 제품들 중에서는 이런 사례가 대단히 많았습니다.”
또한 안드로이드 TV에 백신 제품을 설치하는 사례는, 안드로이드 스마트폰에 비교했을 때 현저히 낮은 것으로 나타나기도 했다. 그렇다는 건 공격 난이도가 현격히 낮아진다는 뜻으로, 이는 공격자들에게 꽤나 큰 매력으로 다가갈 수 있다. “심지어 안드로이드 TV 장비를 탈옥시켜 사용하는 사람들도 많죠. 탈옥을 시킨 후 정상적으로는 허용되지 않는 앱을 설치하는 게 보통이고요. 이런 사용자의 행동 패턴들은 전부 공격 통로가 될 수 있습니다.”
아직 안드로이드보이드를 퍼트리고 운영하는 자들의 정체에 대해서는 닥터웹도 알 수 없다는 입장이다. “이 멀웨어의 출처조차도 아직 알 수 없습니다. 안드로이드 TV를 통해 얻어가는 것 역시 아직 불분명합니다. 최대한 빠르게 적절한 방어 도구를 활용해 숨겨진 위험 요소들을 찾아 정리하고, 권한 설정 역시 검토하는 것이 필요합니다.”
3줄 요약
1. 안드로이드보이드라는 멀웨어가 200여개국에 퍼지고 있음.
2. 안드로이드 TV를 감염시키는 멀웨어로 이미 130만대가 감염됨.
3. 아직 정확한 감염 방법이나 감염의 궁극적 목적은 알 수 없음.
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
