모든 안드로이드 폰의 제어권을 통째로 도난당할 수 있는 매우 위험한 공격에 취약

모든 안드로이드 폰의 제어권을 통째로 도난당할 수 있는 매우 위험한 공격에 취약

All Android Phones Vulnerable to Extremely Dangerous Full Device Takeover Attack

안드로이드 버전 7.1.2까지 모든 버전에서 동작하는 새로운 공격이 발견되었습니다. 해당 공격은 “Cloak and Dagger”라고 불리고 있습니다.

“Cloak and Dagger” 공격은 해커들이 은밀히 사용자 기기의 제어권을 탈취하고 키 입력, 채팅, 기기, 기기의 PIN번호, 온라인 계정의 패스워드, OTP 코드 및 연락처 등의 개인 데이터를 훔치도록 허용합니다.

Cloak and Dagger 공격에 대한 흥미로운 점은?

이 공격은 안드로이드의 어떠한 취약점도 악용하지 않습니다. 대신, 안드로이드 기기의 특정 기능에 접근하기 위해 많은 인기있는 어플리케이션들에서 사용하는 정식 앱 권한을 악용합니다. 

이 공격을 발견한 보안 연구원들이 20명의 사람들에게 해당 공격을 성공적으로 실행했으나, 아무도 악성 행동을 인지하지 못했습니다.

Cloak and Dagger 공격은 다음 아래 두 가지 기본 안드로이드 권한을 악용합니다.

SYSTEM_ALERT_WINDOW ("draw on top")

BIND_ACCESSIBILITY_SERVICE ("a11y")

첫 번째 권한은 앱들이 기기 스크린 및 다른 앱들의 맨 위에 화면을 띄울 수 있는 정식 오버레이 기능입니다. 두 번째 권한은 장애인 및 시각 장애인들이 음성 명령을 입력하거나 스크린 읽기 기능을 이용해 내용을 들을 수 있도록 하는 기능입니다.

사용자의 안드로이드 기기에서 할 수 있는 악성행위들

해당 공격은 공격 시도 시 어떠한 악성코드도 필요하지 않다는 점이 특징입니다. 따라서 해커들이 악성 앱을 개발하여 구글 플레이 스토어에 탐지되지 않고 등록되는 것이 수월합니다. 연구원들은 그들이 구글 플레이 스토어에서 Cloak and Dagger 공격을 어떻게 실행할 수 있는지 설명했습니다.

연구원들은 “우리는 이 두 가지의 권한을 요구하며 임의의 코드를 다운로드 및 실행하기 위한 난독화되지 않은 기능을 포함하는 앱을 등록했다. 이 앱은 단 몇시간 만에 구글 플레이 스토어에서 승인 되었으며, 아직까지 다운로드가 가능하다.”고 말했습니다.

연구원들은 이 앱이 일단 사용자 디바이스에 설치되면, 공격자는 다음과 같은 악성 행위를 할 수 있다고 밝혔습니다.

고급 클릭재킹 공격

무제한 키 입력 기록

God 모드 앱의 은밀한 설치 (모든 권한이 활성화 된 상태)

은밀히 폰의 잠금을 해제하고 임의의 행동을 취함 (스크린이 꺼져있는 상태에서)

공격자는 은밀히 사용자의 안드로이드 기기를 제어해 사용자의 모든 행동을 스파잉할 수 있습니다.

구글, 해당 문제를 수정할 수 있지만... 신속한 수정이 어렵다고 밝혀

해당 문제를 발견한 연구원들은 이 문제를 구글에 제보했습니다. 그러나 해당 이슈가 안드로이드가 설계된 방식에 존재하기 때문에 문제 해결이 어려울 수 있다는 대답을 받았습니다.

구글은 SYSTEM_ALERT_WINDOW ("draw on top") 권한을 공식 구글 플레이 스토어에서 직접 설치된 모든 앱에 부여합니다. 이는 2015년 10월 출시 된 안드로이드 마시멜로(버전6) 부터 적용되었습니다.

이 기능은 악성 앱들이 기기의 스크린을 하이잭할 수 있도록 허용합니다. 이 수법은 사이버범죄자들과 해커들이 멀웨어와 피싱 스캠등에 가장 많이 악용하는 방법들 중 하나입니다. 구글은 이 정책을 올해 3분기에 출시될 안드로이드 O에서 변경할 예정입니다. 

하지만 사용자들이 기기 제조사들로부터 이 새 OS를 공급받는데는 오랜 시간이 소요됩니다. 따라서, 대다수의 스마트폰 사용자들은 적어도 1년동안 랜섬웨어, 애드웨어, 뱅킹 악성코드 등의 타겟이 될 것으로 예상됩니다.

임시 조치

안드로이드 7.1.2에서 Cloak and Dagger 공격을 비활성화시키는 가장 쉬운 방법은 아래와 같이 “draw on top” 권한을 해제하는 것입니다.

※ 설정 -> 앱 -> 기어 아이콘 -> 특별 액세스 -> Draw over other apps

단, 해당 임시 조치의 경우 정상앱의 특정기능 동작에 영향을 줄 수 있으므로 (ex. 알약 안드로이드의 스크린커버 기능 등) 임시 조치시 반드시 주의를 기울여야 합니다. 

또한, 검증된 앱마켓을 통해 검증된 앱을 선택하여 사용하는 것이 근본적인 예방법임을 다시 한번 강조드립니다.

출처 :

http://thehackernews.com/2017/05/android-hacking-technique.html

http://cloak-and-dagger.org/