Home > 전체기사
안드로이드에서 스트랜드호그 2.0 취약점 새롭게 발견돼
  |  입력 : 2020-05-27 12:09
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
지난 해 발견된 스트랜드호그와 여러 가지 면에서 유사하나 공격 결과 달라
스트랜드호그에 비해 공격 범위 넓고 추적 어려워...해커들은 둘 다 익스플로잇 할 듯


[보안뉴스 문가용 기자] 안드로이드에서 새로운 취약점이 발견됐다. 스트랜드호그 2.0(StrandHogg 2.0)이라고 하며, 거의 모든 버전의 안드로이드에서 나타난다. 익스플로잇에 성공할 경우 공격자는 장비 내 존재하는 거의 모든 애플리케이션에 접근할 수 있게 된다고 한다. 이를 활용해 악성 앱도 정상 앱처럼 보이게 만들 수 있다.

[이미지 = utoimage]


애플리케이션 보안 전문 업체인 프로몬(Promon)은 “이번에 발견된 취약점이 2019년 후반부에 발견된 스트랜드호그 취약점과 상당히 비슷하다”고 이름의 유래를 밝혔다. 스트랜드호그는 먼 옛날 바이킹의 침공 전략을 뜻하는 노르웨이어로, 해커들이 정상적인 앱을 통해 멀웨어를 배포함으로써 사용자들 몰래 추적하는 것을 가능하게 만드는 취약점이다. 공개되었을 때 이미 해커들 사이에서 활용되고 있었고, 안드로이드 10 이하 모든 버전에 영향이 있었다.

이번에 발견된 스트랜드호그 2.0의 경우 안드로이드 10을 기반으로 한 장비에는 별다른 영향이 없다. 그 이전 버전들은 위험하다. 안드로이드 생태계에서는 오래된 버전이 곧잘 사용되기 때문에 스트랜드호그 2.0의 위험성은 유효하다고 볼 수 있다. 구글이 4월에 낸 통계에 따르면 무려 91.8%의 안드로이드 사용자들이 9.0 이하 버전을 사용 중에 있다고 한다.

다행인 건 스트랜드호그 2.0을 실제 공격에 활용한 사례가 아직까지는 나오지 않았다는 것이다. 그러나 원래의 스트랜드호그보다 광범위한 공격을 할 수 있고, 탐지는 더 어려우며, 거의 모든 애플리케이션이 공격 대상이 되기 때문에 훨씬 더 “악독하다”는 평가를 받는다.

프로몬의 설명에 의하면 첫 번째 스트랜드호그 취약점은 안드로이드의 제어 장치인 태스크어피니티(TaskAffinity)과 관련이 있었다. 그러나 추적 가능한 흔적들을 일부 남기는 것으로 나타났다. 스트랜드호그 2.0의 경우는 ‘반사(reflection)’를 통해 실행이 된다고 하는데, 이는 “악성 애플리케이션들이 정상 애플리케이션들의 아이덴티티를 가지고 활동을 한다는 뜻”이라고 한다. 따라서 탐지가 매우 어렵다.

공격자가 자신의 앱을 다운로드 시킨 후, 스트랜드호그 2.0을 익스플로잇 함으로써 문자 메시지나 사진에 접근하거나 로그인 크리덴셜을 훔치고, GPS를 추적하는 등의 행위가 전부 가능하게 된다. 그 외 음성 녹음과 카메라를 통한 엿보기 등 각종 스파이 행위도 공격자가 실행할 수 있게 된다.

실제 상황에서 공격자는 악성 앱을 공격 대상의 장비에 숨겨두고 기다린다. 스트랜드호그 2.0을 통해 다른 앱들에 접근까지 완료한 상태다. 그러다가 피해자가 특정 앱 아이콘을 터치한다. 그러면 정상 앱이 아니라 멀웨어가 실행되는데, 이 때 이 멀웨어는 정상 앱인 것처럼 꾸며진 화면을 띄우고 로그인을 하라고 요구한다. 혹은 추가 권한을 요구하는 팝업 창을 띄울 수도 있다. 이 정도로까지 기기를 좌지우지 할 수 있다면, 사실 데이터를 유출시키는 것도 가능하다고 한다.

스트랜드호그나 스트랜드호그 2.0이나 특별히 위험하다고 여겨지는 이유는, 루트 권한 없이도 각종 악성 행위를 할 수 있게 해주기 때문이라고 프로몬은 강조한다. 다른 앱들에 접근할 수 있기 때문에 필요한 권한을 훔쳐오는 것도 가능하다. 앱을 통해 연락처와 각종 문자 메시지에도 다가갈 수 있다. 오리지널 스트랜드호그가 하나의 앱만 공격할 수 있었던 것과 달리 스트랜드호그 2.0은 여러 개의 앱을 동시에 공격할 수 있다.

프로몬은 “공격자들이 실제 상황에서는 스트랜드호그와 스트랜드호그 2.0을 함께 익스플로잇 할 것”으로 예상하고 있다. “두 가지 취약점이 서로 다른 결과를 내기 때문에, 보다 다양한 공격 경로 확보를 위해서라도 양쪽 모두를 노리는 게 공격자 입장에서는 합리적일 겁니다. 또한 스트랜드호그에 대한 방어법이 스트랜드호그 2.0에 통하지 않고, 그 반대도 마찬가지입니다. 방어자들은 두 개를 모두 따로따로 대비해야 합니다.”

스트랜드호그 2.0은 CVE-2020-0096으로 분류됐다. 또한 치명적 위험도를 가진 것으로 분석되기도 했다. 구글은 이 문제를 접수했으며 지난 달 패치를 파트너사들에게 배포한 상태라고 한다. 일반 사용자들에게는 이번 달 내로 8.0, 8.1, 9.0 버전에 대한 패치가 배포될 예정이다.

3줄 요약
1. 안드로이드 생태계에서 새로운 취약점, 스트랜드호그 2.0 발견됨.
2. 스트랜드호그 1.0보다 공격 범위가 광범위하고 추적과 탐지가 더 힘듦.
3. 스트랜드호그 시리즈 취약점들은 필요한 권한을 앱에서 추출하기 때문에 루트 권한을 필료로 하지 않음.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)