루트에 접근할 수 있는 안드로이드 취약점 발견 등
[보안뉴스 김경애] 지난 한 주간 말하는 랜섬웨어가 등장했으며, 루트에 접근할 수 있는 안드로이드 취약점이 발견됐다. 뿐만 아니라 안드로이드 기기 60%에 영향 주는 악성코드도 발견돼 이용자들의 주의가 요구된다. 다음은 한 주간 발생한 보안이슈다.
▲말하는 랜섬웨어 CERBER 샘플 화면(출처: 트렌드마이크로)
1. 말하는 랜섬웨어 등장
먼저 새롭게 등장한 말하는 랜섬웨어 RANSOM_CERBER는 음성을 지원하는 랜섬웨어의 변종으로, 감염 PC의 컴퓨터에서 감염됐음을 알리는 경고 음성이 나온다.
이 랜섬웨어는 Nuclear 익스플로잇 킷에 포함되어 멀버타이징을 통해 유포되고 있다. Nuclear 익스플로잇 킷은 Angler 익스플로잇 킷 다음으로 공격자들이 많이 사용하는 익스플로잇 킷이다.
알약 블로그 측은 “러시아 블랙마켓에서는 RaaS 방식을 통해 CERBER를 판매하고 있다”며 “이 랜섬웨어는 커스터마이징이 가능한 만큼 곧 더 많은 CERBER 랜섬웨어가 기승을 부릴 것으로 예상된다”고 밝혔다.
2. 루트에 접근할 수 있는 안드로이드 취약점 발견
최근 Snapdragon을 사용하는 안드로이드 기기에 영향을 미치는 취약점이 발견됐다.
Snapdragon은 퀄컴에서 개발한 스마트폰, 태블릿, 스마트북 등을 위한 모바일 SoC(System on Chip)다.
발견된 취약점은 CVE-2016-0819으로 커널 안의 오브젝트가 해제됐을 때 발생하는 로직의 버그다. 노드가 해제되기 전 두 번 삭제되는 것으로, 안드로이드 정보 유출 및 Use After Free 이슈를 야기시킨다.
이에 대해 알약 블로그 관계자는 “해당 취약점을 악용하면 Snapdragon을 사용하는 안드로이드 기기에서 루트 권한을 얻을 수 있게 된다”며 “이는 기기에 설치된 악성 앱을 통해 이루어 질 수 있는데, 악용될 가능성이 있다”고 밝혔다.
또한 CVE-2016-0805는 안드로이드 4.4.4 ~ 6.0.1 이전 버전에 영향을 미치고, 3.10~ 커널 버전의 Snapdragon을 사용하는 모든 안드로이드 기기들은 잠재적으로 해당 공격에 취약할 수 있다고 덧붙였다.
3. 안드로이드 기기 60%에 영향 주는 악성코드 발견
전체 안드로이드 기기의 60% 이상에 영향을 미치는 모바일 악성코드 Triada도 발견됐다.
▲사용자가 사용하는 안드로이드 OS 버전(출처: 카스퍼스키랩 시큐어리스트)
이를 발견한 카스퍼스키랩 측은 “Triada는 안드로이드 4.4.4 및 그 이전 버전을 사용하는 기기에서 동작하며, 결제 및 권한상승으로 이어질 수 있는 악성코드”라며 “전문적인 사이버 범죄자들이 제작한 것으로 추정된다”고 밝혔다.
악성코드의 특징은 모든 앱 프로세스의 부모 프로세스 격인 Zygote를 사용한다는 점이다. 이는 기기에 설치된 모든 앱들이 사용하는 시스템 라이브러리와 프레임워크를 포함하며, 안드로이드 앱을 실행하려는 목적을 가졌다.
Triada는 사용자 디바이스를 감염시킨 후 , 거의 모든 동작 프로세스에 침입해 단기 메모리에 상주한다. 그렇기 때문에 모바일 백신을 통한 탐지 및 삭제를 거의 불가능하게 만든다는 게 카스퍼스키랩 측의 설명이다.
Triada는 실행중인 거의 모든 프로세스에 침입해 메모리에만 상주하는 데다, 개별적으로 실행되는 악성 프로세스는 모두 사용자와 다른 앱으로부터 숨겨져 있는 상태이기 때문에 모바일 백신이 이 악성코드를 탐지하고 삭제하는 것이 매우 어려운 것으로 알려졌다.
[김경애 기자(boan3@boannews.com)]
[보안뉴스 김경애] 지난 한 주간 말하는 랜섬웨어가 등장했으며, 루트에 접근할 수 있는 안드로이드 취약점이 발견됐다. 뿐만 아니라 안드로이드 기기 60%에 영향 주는 악성코드도 발견돼 이용자들의 주의가 요구된다. 다음은 한 주간 발생한 보안이슈다.
▲말하는 랜섬웨어 CERBER 샘플 화면(출처: 트렌드마이크로)
1. 말하는 랜섬웨어 등장
먼저 새롭게 등장한 말하는 랜섬웨어 RANSOM_CERBER는 음성을 지원하는 랜섬웨어의 변종으로, 감염 PC의 컴퓨터에서 감염됐음을 알리는 경고 음성이 나온다.
이 랜섬웨어는 Nuclear 익스플로잇 킷에 포함되어 멀버타이징을 통해 유포되고 있다. Nuclear 익스플로잇 킷은 Angler 익스플로잇 킷 다음으로 공격자들이 많이 사용하는 익스플로잇 킷이다.
알약 블로그 측은 “러시아 블랙마켓에서는 RaaS 방식을 통해 CERBER를 판매하고 있다”며 “이 랜섬웨어는 커스터마이징이 가능한 만큼 곧 더 많은 CERBER 랜섬웨어가 기승을 부릴 것으로 예상된다”고 밝혔다.
2. 루트에 접근할 수 있는 안드로이드 취약점 발견
최근 Snapdragon을 사용하는 안드로이드 기기에 영향을 미치는 취약점이 발견됐다.
Snapdragon은 퀄컴에서 개발한 스마트폰, 태블릿, 스마트북 등을 위한 모바일 SoC(System on Chip)다.
발견된 취약점은 CVE-2016-0819으로 커널 안의 오브젝트가 해제됐을 때 발생하는 로직의 버그다. 노드가 해제되기 전 두 번 삭제되는 것으로, 안드로이드 정보 유출 및 Use After Free 이슈를 야기시킨다.
이에 대해 알약 블로그 관계자는 “해당 취약점을 악용하면 Snapdragon을 사용하는 안드로이드 기기에서 루트 권한을 얻을 수 있게 된다”며 “이는 기기에 설치된 악성 앱을 통해 이루어 질 수 있는데, 악용될 가능성이 있다”고 밝혔다.
또한 CVE-2016-0805는 안드로이드 4.4.4 ~ 6.0.1 이전 버전에 영향을 미치고, 3.10~ 커널 버전의 Snapdragon을 사용하는 모든 안드로이드 기기들은 잠재적으로 해당 공격에 취약할 수 있다고 덧붙였다.
3. 안드로이드 기기 60%에 영향 주는 악성코드 발견
전체 안드로이드 기기의 60% 이상에 영향을 미치는 모바일 악성코드 Triada도 발견됐다.
▲사용자가 사용하는 안드로이드 OS 버전(출처: 카스퍼스키랩 시큐어리스트)
이를 발견한 카스퍼스키랩 측은 “Triada는 안드로이드 4.4.4 및 그 이전 버전을 사용하는 기기에서 동작하며, 결제 및 권한상승으로 이어질 수 있는 악성코드”라며 “전문적인 사이버 범죄자들이 제작한 것으로 추정된다”고 밝혔다.
악성코드의 특징은 모든 앱 프로세스의 부모 프로세스 격인 Zygote를 사용한다는 점이다. 이는 기기에 설치된 모든 앱들이 사용하는 시스템 라이브러리와 프레임워크를 포함하며, 안드로이드 앱을 실행하려는 목적을 가졌다.
Triada는 사용자 디바이스를 감염시킨 후 , 거의 모든 동작 프로세스에 침입해 단기 메모리에 상주한다. 그렇기 때문에 모바일 백신을 통한 탐지 및 삭제를 거의 불가능하게 만든다는 게 카스퍼스키랩 측의 설명이다.
Triada는 실행중인 거의 모든 프로세스에 침입해 메모리에만 상주하는 데다, 개별적으로 실행되는 악성 프로세스는 모두 사용자와 다른 앱으로부터 숨겨져 있는 상태이기 때문에 모바일 백신이 이 악성코드를 탐지하고 삭제하는 것이 매우 어려운 것으로 알려졌다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
