애플 DRM 취약점을 악용하여 탈옥하지 않은 iOS 기기를 감염시킬 수 있는 AceDeceiver 악성코드 발견!
TROJAN EXPLOITS APPLE DRM FLAW, PLANTS MALWARE ON NON-JAILBROKEN IOS DEVICES
보안연구원들에 따르면, 중국의 약 600만대의 iOS 기기들이 AceDeceiver 악성코드에 감염되었다고 밝혔습니다.
Palo Alto가 발견한 AceDeceiver 악성코드는 애플의 DRM 소프트웨어의 설계상 결점을 악용하여 Windows PC들을 통하여 iOS 기기들을 감염시킬 수 있습니다.
지금까지 AceDeceiver는 중국에 있는 iOS 사용자들에게만 영향을 미친것으로 보이며, 애플의 FairPlay DRM 시스템을 이용하여 탈옥하지 않은 기기들을 성공적으로 감염시킨 첫 악성코드 입니다.
AceDeceiver 악성코드는 중간자 공격을 실행하는 공격자들이 사용자의 애플 ID를 유출하도록 속이는 역할을 할 뿐만 아니라, iOS 기기로의 접근을 허용하는 역할을 하기도 합니다.
AceDeceiver의 또 다른 특이한 점은 정식 애플 개발자 인증서를 악용해왔던 ZergHelper 등 이제까지 iOS 멀웨어와는 차별화 된다는 점 입니다.
AceDeceiver은 'FairPlay 중간자공격'으로 알려진 2년된 기술을 약간 변형하여 사용했을 뿐만 아니라, 사용자가 알아채지 못하게 iOS 기기에 악성앱을 설치하는 최초의 악성코드 이기도 합니다.
AceDeceiver의 현재 중국 사용자만을 타겟으로 하고 있지만, 다른 국가들 역시 쉽게 타겟이 될 가능성이 있다고 설명하였습니다.
공격자들은 2015년 7월부터 2016년 1월까지, 애플 앱스토어에 AceDeceiver의 스크린 세이버 3가지를 등록하였으며, 이 앱들은 애플 사용자들이 iTunes 앱 승인 코드를 공격자에게 전송하도록 속이기 위하여 설계되었습니다.
이는 나중에 Windows 어플리케이션인 Aisi Helper와 함께 사용될 수 있습니다. Aisi Helper는 주로 중국 PC 사용자들에게 마케팅 되고있는 iOS용 유틸리티로, iOS 시스템 백업 및 재설치, 탈옥, 기기관리, 시스템 클리닝을 도와준다고 합니다.
Windows 사용자들이 Aisi Helper 소프트웨어를 PC에 설치하고 여기에 iOS 기기를 연결하면, 공격자는 사용자가 알지 못하게 iOS 기기에 악성앱을 설치할 수 있게됩니다. 이 후 공격자들은 애플의 AceDeceiver의 승인 서버를 사용하여 FairPlay DRM 핸드쉐이크를 스푸핑 함으로서, 이러한 공격을 실행할 수 있습니다. 이러한 타입의 공격을 'FairPlay 중간자공격'이라고 하며, 2014년 처음 발견되었습니다.
애플은 지난 2월 AceDeceiver 취약점에 대해 제보 받은 후 이 3개의 앱을 앱스토어에서 삭제하였습니다. 하지만 Palo Alto는 이 취약점이 여전히 Aisi Helper 소프트웨어를 통하여 악용이 가능하며, 공격자가 애플 승인의 복사본을 얻을 수 있는 한 굳이 앱스토어에 접근할 필요가 없다고 말했습니다. 애플의 DRM 취약점을 이용하면, iTunes 생태계 밖에서도 승인이 이루어질 수 있기 때문입니다.
AceDeceiver 악성코드는 일단 iOS에 설치되면 사용자 기기에서 써드파티 앱 스토어 역할을 합니다. 이 써드파티 앱 스토어는 공격자들에 의해 제어되며, 다양한 유틸리티와 게임들을 제공합니다. 사용자들은 무료 해적판 iOS 앱을 무제한 다운로드 하기 위해서는 애플 ID를 입력하라고 요구합니다.
현재 이와 관련하여 애플에 코멘트를 요청했지만, 아직 답변을 받지 못한 상태입니다.
참고 :
TeslaCrypt 4.0: 더 강해지고 복호화가 불가능해져 (1) | 2016.03.21 |
---|---|
Stagefright 변종 “Metaphor”, 수 백만 대의 삼성, 엘지, HTC 폰들 위험에 빠트려 (0) | 2016.03.18 |
교육용 암호화 툴 EDA2를 악용하여 만든 랜섬웨어의 복호화키 공개 (0) | 2016.03.17 |
안드로이드 악성코드 GMBot 2.0버전 출현 : 판매가격이 기존버전의 3배 (0) | 2016.03.16 |
Mac 랜섬웨어인 KeRanger는 Linux.Encoder의 변종이었다! (0) | 2016.03.15 |
댓글 영역