0xNews - 안드로이드 폰 890만대 이상 사전 감염 확인

Trendmicro 발표

BlackHat ASIA 2023 발표

Lemon Group로 알려진 사이버 공격 그룹이 전 세계를 대상으로 수백만대 안드로이드폰에 대한 사전 감염 정보 확인

이를 통해 악의적인 활동을 수행하여 심각한 공급망 위험을 초래할 수 있음

이번 감염 확인은 모바일 프록시, SMS메시지, 소셜미디어, 온라인 메시징 계정을 탈취

광고나 클릭 사기 등의 활동을 통한 수익 창출 도구로 사용자 몰래 바뀔 수 있음

현재까지 미국, 멕시코, 인도네시아, 태국, 러시아, 필리핀, 아르헨티나 등에서 확인

안드로이드 폰 최대 890만대가 감염됐으며 주로 보급형 스마트폰인 것으로 확인

점차 진화하고 발전하는 문제 중 하나로 공격자는 스마트TV, 안드로이드TV박스, 엔터테인먼트 시스템, 키즈용 시계와 같은 안드로이드 기반 IoT 장치로 영역을 확장 중

최대 180개 이상 국가로 공격이 전파됐으며 50개 이상 모바일 장치 브랜드가 Guerilla 라는 맬웨어 변종에 의해 손상

공격 그룹은 최대 지난 5년 동안 이 악성코드를 유포했을 것이라 판단

감염된 장치가 중요한 핵심 인프라까지 손상된다면 정상적인 사용자에게 피해를 입힐 수 있으며 장기적으로는 공격 그룹인 Lemon Group에게 상당한 이익이 될 수 있음

2018년 Sophos 에서 클릭 사기에 가담하고 백도어 역할을 하는 기능이 포함된 안드로이드 앱 15개가 구글 플레이 스토어에 업로드된 것을 발견하면서 최초로 문서화 후 정보 공개

Sophos 발표 자료 정보 링크

이 악성코드는 2022년 초 다양한 온라인 플랫폼과 관련된 일회용 비밀번호 OTP 와 같은 사전 정의된 특성과 일치하는 SMS메시지를 가로채는 능력으로 주목을 받음

SMS캡처 기능은 변조된 라이브러리를 통해 zygote 프로세스에 로드되는 다운로더 구성 요소(메인 플러그인)와 관련된 많은 플러그인 중 하나에 불과

zygote 프로세스를 수정하는 동일한 기술이 Triada 라는 다른 모바일 트로이 목마에서도 채택되었다는 점은 주목해야 함

이로 인해 다른 앱 프로세스가 접합자에서 분기될 때마다 변조될 것

메인 플러그인은 현재 프로세스가 대상인 다른 플러그인을 로드하고 다른 플러그인은 후크를 통해 현재 앱을 제어하려고 시도

각 게릴라 플러그인은 특정 비즈니스 기능과 Lemon Group 그룹을 위한 수익 창출 기회를 제공

1) 감염된 전화에서 역방향 프록시를 설정

다른 공격자가 영향을 받는 모바일 장치의 네트워크 자원에 대한 접속을 임대할 수 있도록 하는 프록시 플러그인

2) 사용자의 페이스북 쿠키나 기타 프로필 정보를 수집하는 쿠키 플러그인

3) 세션을 가로채고 원하지 않은 메시지를 보내는 WhatsApp 플러그인

4) 특정 앱을 시작할 때 부당광고를 게재하는 스플래시 플러그인

5) APK파일을 은밀하게 설치 후 앱을 실행하는 자동 플러그인

승인되지 않은 펌웨어 수정은 휴대폰용 펌웨어 구성 요소를 생산

안드로이드 Auto용 유사한 구성 요소도 제조하는 익명의 타사 공급업체를 통해 발생한 것으로 확인

이번 정보 공개는 MS보안 연구원이 안드로이드 공유 대상을 악의적인 페이로드를 배포하고 장치에 설치된 다른 앱에서 민감 정보를 캡처하기 위한 벡터로 바꾸는 Dirty Stream이라는 새로운 공격 방법을 자세히 설명하면서 나온 것

이 개념은 웹 애플리케이션의 파일 업로드 취약점과 유사

악성 앱은 특별히 제작된 컨텐츠 공급자를 사용하여 대상 응용 프로그램에 보내는 페이로드를 포함

발신자가 컨텐츠 뿐만 아니라 스트림 이름도 제어하기 때문에 수신자는 필요한 보안 검사를 수행하지 않는 경우 악성 컨텐츠로 중요한 파일을 덮어쓸 수 있음

또한 특정 조건이 적용될 때 수신자는 강제로 수행해야할 수도 있음

보호된 파일을 공용 디렉터리에 복사하여 사용자의 개인 데이터를 위험에 처하게 할 수 있음

openLab