안드로이드 기기 3백만대에 위험한 루트킷이 선 탑재된 것으로 발견돼

안드로이드 기기 3백만대에 위험한 루트킷이 선 탑재된 것으로 발견돼

Dangerous Rootkit found Pre-Installed on nearly 3 Million Android Phones

3백만 대에 가까운 전세계 안드로이드 기기들이중간자 공격에 취약한 것으로 나타났습니다. 공격자는 원격으로 루트 권한을 획득하여 임의의 코드를 실행하고 기기 전체를 제어할 수 있습니다.

보안 등급 회사 BitSight에 따르면, 이 이슈는 Best Buy의 BLU Studio G와 같은 특정 저가형 안드로이드 기기에서 사용되는 OTA 업데이트 메커니즘이 안전하게 구현되지 않았기 때문에 발생하는 것으로 나타났습니다.

백도어/루트킷 선 탑재되어 출시

중국 모바일 회사인 Ragentek Group과 연관된 것으로 보이는 이 취약한 OTA 메커니즘은 숨겨진 바이너리를 포함하고 있습니다. 이는 /system/bin/debugs에 존재했으며 루트 권한으로 실행되고, 3개의 호스트와 암호화되지 않은 채널을 통해 통신했습니다.

연구원들에 의하면 해당 바이너리는 사용자 정보를 중간자 위치의 공격자들에게 노출시킬 뿐만 아니라, 루트킷의 역할도 수행합니다. 따라서 공격자들이 영향을 받는 장비에서 원격으로 임의의 명령어를 실행하도록 잠재적으로 허용합니다.

CERT는 지난 목요일 이 취약점을 경고하는 공지를 통해 “이 바이너리의 실행을 숨기는 기술 다수가 발견되었다. 이러한 행동은 루트킷이라 볼 수 있다.”고 밝혔습니다.

상하이 ADUPS Technology의 펌웨어를 사용하는 안드로이드 기기들에서 발견된 취약점 처럼, CVE-2016-6564 취약점 역시 중국회사에서 개발된 펌웨어에 존재합니다. AdUps의 펌웨어는 사용자 및 기기 정보를 훔치는 것으로 밝혀졌지만, Ragentek 펌웨어는 스마트폰에서 주고 받는 통신을 암호화하지 않았고 정식 앱을 승인할 때 코드 서명에 의존하지 않았습니다.

이러한 실수로 인해 원격의 공격자들이 영향을 받는 기기에서 개인 정보를 훔치는 것이 가능했습니다. 또한 공격자는 원격으로 기기의 데이터 전체를 삭제하고, 기업 네트워크의 다른 장비에도 접속하여 민감한 정보를 탈취할 수 있습니다.

영향을 받는 안드로이드 기기들

이 취약점은 BLU의 스마트폰 및 다른 제조사의 기기 여러 대에서 발견되었습니다. 해당 기기들의 목록은 아래와 같습니다.

• BLU Studio G

• BLU Studio G Plus

• BLU Studio 6.0 HD

• BLU Studio X

• BLU Studio X Plus

• BLU Studio C HD

• Infinix Hot X507

• Infinix Hot 2 X510

• Infinix Zero X506

• Infinix Zero 2 X509

• DOOGEE Voyager 2 DG310

• LEAGOO Lead 5

• LEAGOO Lead 6

• LEAGOO Lead 3i

• LEAGOO Lead 2S

• LEAGOO Alfa 6

• IKU Colorful K45i

• Beeline Pro 2

• XOLO Cube 5.0

해당 취약점을 조사하던 중, AnubisNetworks는 BLU Studio G가 사전에 구성된 인터넷 도메인 3 곳에 접근 시도를 했다는 정황을 발견했습니다. 이 중 2개의 도메인은 버그를 만든 Ragentek 펌웨어에 내장되어 있음에도 등록되지 않은 것으로 나타났습니다.

BitSight의 자회사인 Anubis Networks는 “이 OTA 바이너리는 소프트웨어에서 사전에 구성된 도메인 세트를 통해 분포된다. 이 이슈가 발견된 지금, 단 하나의 도메인만 등록되어 있었다.”, “만약 공격자가 이를 발견해 두 개의 도메인을 등록했을 경우, 그들은 대략 3백만 대의 기기에 중간자 공격도 필요 없이 즉시 임의의 공격을 실행할 수 있었을 것이다.”고 밝혔습니다.

AnubisNetworks는 이후 이것이 악용되는 것을 방지하기 위해 나머지 2개 주소를 등록해 제어할 수 있게 되었습니다.

약 3백만대의 기기들이 위험한 루트킷을 포함하는 것으로 밝혀져

연구원들은 BLU Studio G 기기의 백도어를 악용해 강력한 시스템 권한을 가진 앱만이 접근할 수 있는 장소에 파일을 설치했습니다.

 

이미지 출처 : http://thehackernews.com/2016/11/hacking-android-smartphone18.html

그러나 BitSight가 등록한 두 개의 도메인으로 연결할 때 스마트폰이 보내는 데이터를 조사한 결과, 55개의 알려진 기기 모델들이 영향을 받았다는 사실을 알아낼 수 있었습니다.

BLU 제품들은 해당 취약점을 수정하기 위해서 소프트웨어 업데이트를 발행했으나, BitSight의 연구원들이 해당 패치가 취약점을 제대로 수정하였는지에 대한 확인은 하지 않았습니다.

관련하여 자세한 기술적 정보는 BitSight의 AnubisNetworks에서 발행한 리포트에서 확인할 수 있습니다.

출처 :

http://thehackernews.com/2016/11/hacking-android-smartphone18.html

http://blog.anubisnetworks.com/blog/ragentek-android-ota-update-mechanism-vulnerable-to-mitm-attack

https://www.kb.cert.org/vuls/id/624539