모든 안드로이드 폰의 제어권을 통째로 도난당할 수 있는 매우 위험한 공격에 취약
All Android Phones Vulnerable to Extremely Dangerous Full Device Takeover Attack
“Cloak and Dagger” 공격은 해커들이 은밀히 사용자 기기의 제어권을 탈취하고 키 입력, 채팅, 기기, 기기의 PIN번호, 온라인 계정의 패스워드, OTP 코드 및 연락처 등의 개인 데이터를 훔치도록 허용합니다.
Cloak and Dagger 공격에 대한 흥미로운 점은?
이 공격은 안드로이드의 어떠한 취약점도 악용하지 않습니다. 대신, 안드로이드 기기의 특정 기능에 접근하기 위해 많은 인기있는 어플리케이션들에서 사용하는 정식 앱 권한을 악용합니다.
이 공격을 발견한 보안 연구원들이 20명의 사람들에게 해당 공격을 성공적으로 실행했으나, 아무도 악성 행동을 인지하지 못했습니다.
Cloak and Dagger 공격은 다음 아래 두 가지 기본 안드로이드 권한을 악용합니다.
SYSTEM_ALERT_WINDOW ("draw on top")
BIND_ACCESSIBILITY_SERVICE ("a11y")
첫 번째 권한은 앱들이 기기 스크린 및 다른 앱들의 맨 위에 화면을 띄울 수 있는 정식 오버레이 기능입니다. 두 번째 권한은 장애인 및 시각 장애인들이 음성 명령을 입력하거나 스크린 읽기 기능을 이용해 내용을 들을 수 있도록 하는 기능입니다.
사용자의 안드로이드 기기에서 할 수 있는 악성행위들
해당 공격은 공격 시도 시 어떠한 악성코드도 필요하지 않다는 점이 특징입니다. 따라서 해커들이 악성 앱을 개발하여 구글 플레이 스토어에 탐지되지 않고 등록되는 것이 수월합니다. 연구원들은 그들이 구글 플레이 스토어에서 Cloak and Dagger 공격을 어떻게 실행할 수 있는지 설명했습니다.
연구원들은 “우리는 이 두 가지의 권한을 요구하며 임의의 코드를 다운로드 및 실행하기 위한 난독화되지 않은 기능을 포함하는 앱을 등록했다. 이 앱은 단 몇시간 만에 구글 플레이 스토어에서 승인 되었으며, 아직까지 다운로드가 가능하다.”고 말했습니다.
연구원들은 이 앱이 일단 사용자 디바이스에 설치되면, 공격자는 다음과 같은 악성 행위를 할 수 있다고 밝혔습니다.
고급 클릭재킹 공격
무제한 키 입력 기록
God 모드 앱의 은밀한 설치 (모든 권한이 활성화 된 상태)
은밀히 폰의 잠금을 해제하고 임의의 행동을 취함 (스크린이 꺼져있는 상태에서)
공격자는 은밀히 사용자의 안드로이드 기기를 제어해 사용자의 모든 행동을 스파잉할 수 있습니다.
구글, 해당 문제를 수정할 수 있지만... 신속한 수정이 어렵다고 밝혀
해당 문제를 발견한 연구원들은 이 문제를 구글에 제보했습니다. 그러나 해당 이슈가 안드로이드가 설계된 방식에 존재하기 때문에 문제 해결이 어려울 수 있다는 대답을 받았습니다.
구글은 SYSTEM_ALERT_WINDOW ("draw on top") 권한을 공식 구글 플레이 스토어에서 직접 설치된 모든 앱에 부여합니다. 이는 2015년 10월 출시 된 안드로이드 마시멜로(버전6) 부터 적용되었습니다.
이 기능은 악성 앱들이 기기의 스크린을 하이잭할 수 있도록 허용합니다. 이 수법은 사이버범죄자들과 해커들이 멀웨어와 피싱 스캠등에 가장 많이 악용하는 방법들 중 하나입니다. 구글은 이 정책을 올해 3분기에 출시될 안드로이드 O에서 변경할 예정입니다.
하지만 사용자들이 기기 제조사들로부터 이 새 OS를 공급받는데는 오랜 시간이 소요됩니다. 따라서, 대다수의 스마트폰 사용자들은 적어도 1년동안 랜섬웨어, 애드웨어, 뱅킹 악성코드 등의 타겟이 될 것으로 예상됩니다.
임시 조치
안드로이드 7.1.2에서 Cloak and Dagger 공격을 비활성화시키는 가장 쉬운 방법은 아래와 같이 “draw on top” 권한을 해제하는 것입니다.
※ 설정 -> 앱 -> 기어 아이콘 -> 특별 액세스 -> Draw over other apps
단, 해당 임시 조치의 경우 정상앱의 특정기능 동작에 영향을 줄 수 있으므로 (ex. 알약 안드로이드의 스크린커버 기능 등) 임시 조치시 반드시 주의를 기울여야 합니다.
또한, 검증된 앱마켓을 통해 검증된 앱을 선택하여 사용하는 것이 근본적인 예방법임을 다시 한번 강조드립니다.
출처 :
http://thehackernews.com/2017/05/android-hacking-technique.html
Judy 안드로이드 멀웨어, 3,650만 구글 플레이 스토어 사용자들 감염시켜 (2) | 2017.05.30 |
---|---|
DLL 인젝션 공격이 가능한 윈도우 인스톨 취약점 주의! (0) | 2017.05.29 |
Yahoo 이메일에서 Yahoobleed 취약점 발생 (0) | 2017.05.26 |
웜으로 둔갑 가능한 코드 실행 버그, 7년 동안 Samba에 존재했던 것으로 밝혀져 (0) | 2017.05.25 |
Samba 원격코드실행 취약점(CVE-2017-7494) 발견! (0) | 2017.05.25 |
댓글 영역