Home > 전체기사
인도의 사이드와인더, 안드로이드 취약점 통해 정보 수집해
  |  입력 : 2020-01-07 10:55
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
사이드와인더, 2018년에 처음 발견된 APT 그룹으로 파키스탄 주로 노려
플레이 스토어에 등록된 세 가지 악성 앱 활용...콜캠이라는 앱이 가장 중요


[보안뉴스 문가용 기자] 구글 플레이 스토어의 앱을 통해 장비를 침해하고 사용자의 데이터를 수집하는 공격이 발견됐다. 이 캠페인에서 활용되고 있는 취약점은 CVE-2019-2215라고 하며, 공격에 연루된 악성 앱은 총 세 가지다. 공격자는 사이드와인더(SideWinder)라고 불리는 APT 그룹인 것으로 보인다.

[이미지 = iclickart]


이를 발견한 건 보안 업체 트렌드 마이크로(Trend Micro)로, 에쿨라 수(Ecular Xu)와 조셉 첸(Joseph Chen)이라는 연구원들이 자사 블로그를 통해 내용을 공개했다. 사이드와인더는 2018년 1사분기에 보안 업체 카스퍼스키(Kaspersky)가 처음 발견한 단체로, 주로 파키스탄의 군 부대와 시설을 표적 삼아 공격한다. 최소 2012년부터 활동해왔으며, 아직까지는 인도 정부와 관련이 있는 정도로만 알려져 있다.

한편 CVE-2019-2215 취약점이 처음 공개된 건 2019년 10월의 일이다. 구글 프로젝트 제로 팀의 매디 스톤(Maddie Stone)이 발견했고, 수천만 대의 안드로이드 장비들에 영향을 줄 수 있는 로컬 권한 상승 취약점으로 분류됐다. 피해자가 악성 앱을 다운로드 받도록 유도함으로써 익스플로잇이 가능한 것으로 밝혀지기도 했다. 원격 익스플로잇을 가능하게 해주는 또 다른 취약점과 연계해서 사용될 경우, 장비의 완전 장악도 가능해진다.

이번에 수와 첸이 밝힌 캠페인은 위 취약점이 실제 공격에 활용된 첫 사례로 기록되었다. 이 캠페인에서 악용된 취약점은 안드로이드의 프로세스 간 통신 시스템인 바인더(Binder) 내에 존재하며, 연루된 악성 앱 3개는 카메로(Camero), 파일크립트 매니저(FileCrypt Manager), 콜캠(callCam)으로, 사진 및 파일 관리 도구들인 것처럼 위장되어 있었다. 현재는 셋 다 스토어에서 사라진 상태다.

이 중 가장 중요한 건 콜캠이라는 앱이었다. 페이로드가 이 앱에 저장되어 있었기 때문이다. 이 앱을 설치하면 제일 먼저 원격의 C&C 서버로부터 DEX 파일이 다운로드 됐다. 이 파일은 APK 파일을 다운로드 받아 실행시킨다. 카메로와 파일크립트 매니저는 드로퍼의 역할을 수행하며, 여러 단계를 거쳐 결국은 콜캠 앱을 다운로드 받아 설치한다. 문제의 C&C 서버는 이전부터 사이드와인더가 사용해왔던 것이다.

사이드와인더는 사용자 몰래 콜캠을 설치하기 위해 주로 ‘장비 루팅’이라는 기술을 사용한다. 드로퍼가 다운로드 한 DEX 파일에 따라 특수한 익스플로잇을 C&C 서버로부터 다운로드 받는데, 이러한 접근법이 적용되는 장비는 구글의 픽셀 2, 픽셀 2 XL, 노키아 3, LG V20, 오포 F0, 홍미 6A라고 한다.

트렌드 마이크로는 수사 과정 중 다섯 개의 익스플로잇을 C&C로부터 얻어낼 수 있었고, 이를 분석해 CVE-2019-2215를 통한 루트 권한 탈취가 이뤄지고 있다는 걸 알아냈다고 한다. “루트 권한 탈취 이후에는 콜캠을 다운로드 받아 설치하는 과정이 진행됐습니다. 그러면서 접근성에 관한 옵션 변경이 이뤄지고 콜캠의 악성 페이로드가 실행됩니다.”

파일크립트 매니저의 경우, 실행된 이후 사용자에게 접근성을 허용해달라는 팝업 창을 띄운다. 사용자가 허락을 해주면, 화면 전체를 덮는 오버레이를 생성한다. 그런 후 추가 설치 과정이 진행될 것이라고 사용자에게 통보한다. 배경에서는 DEX 파일로부터 코드를 호출하기 시작하며, 이를 통해 추가로 앱을 설치한다. 이 때 설치되는 것이 콜캠이다.

모든 설치 과정이 끝나면 콜캠 앱의 아이콘이 삭제되고, 따라서 사용자는 그런 앱이 설치됐다는 것도 모르게 된다. 하지만 콜캠 앱은 배경에서 실행되고 있으며, 정보를 수집해 C&C 서버로 보낸다. 주로 위치 정보, 배터리 상태, 장비 내 저장된 파일, 설치된 앱의 목록, 계정 데이터, 와이파이 데이터, 센서, 카메라 등과 관련된 데이터가 수집된다. 그 외 위챗, 아웃룩, 트위터, 야후, 페이스북, 지메일, 크롬과 같은 앱에서도 데이터를 추출한다.

수집한 데이터는 전부 RSA와 AES 알고리즘을 통해 암호화 되며, 데이터의 무결성을 확인하기 위해 SHA256을 사용한다.

3줄 요약
1. 안드로이드의 플레이 스토어에서 발견된 3가지 악성 앱 통해 장비 침해 공격 진행 중.
2. 공격자는 사이드와인더라는 APT 단체로, 인도와 관련이 있는 것으로 알려져 있음.
3. 공격자가 익스플로잇 하는 취약점은 CVE-2019-2215.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)