포스팅 내용

국내외 보안동향

감시 악성코드 'Exodus', 애플 iOS 사용자 노려

'Exodus' Surveillance Malware Found Targeting Apple iOS Users


사이버 보안 연구원들이 강력한 모바일 감시 앱의 iOS 버전을 발견했습니다. 


Exodus라 명명된 이 악성코드의 iOS 버전은 작년에 발견한 안드로이드 샘플을 분석하던 중 발견되었습니다.


안드로이드 변종과 달리 Exodus의 iOS 버전은 공식 앱스토어 밖에서 배포되었습니다. 


배포는 주로 이탈리아, 투르크메니스탄의 이동 통신사 웹사이트를 모방한 피싱 사이트를 통해 이루어졌습니다.


애플은 공식 앱스토어가 아닌 외부에서 앱을 직접 설치하는 것을 제한하고 있기 때문에, Exodus iOS 버전은 애플의 개발자 엔터프라이즈 프로그램(Apple Developer Enterprise Program)을 악용합니다. 


해당 프로그램은 기업이 애플 공식 앱스토어를 통하지 않고도 iOS 전용 앱을 직원들에게 직접 배포할 수 있도록 설계되었습니다.


악성코드가 유포된 피싱 사이트에는 이름, 버전, 아이콘, IPA(iOS App Store Package) 파일로의 URL과 같은 메타데이터를 포함한 배포 목록이 링크되어 있었습니다.


이 모든 패키지들은 프로비저닝 프로필을 Connexxa S.R.L이라는 회사와 관련된 배포 인증서와 함께 사용되었습니다.


iOS 용 변종은 안드로이드 용 변종과 비교했을 때 덜 정교하지만 연락처, 음성녹음, 사진, 영상, GPS 위치, 기기 정보 등을 타깃 아이폰에서 추출해낼 수 있습니다.


이렇게 훔친 데이터는 HTTP PUT 요청을 통해 공격자가 제어하는 C&C 서버로 전송됩니다. 


이 C&C 인프라는 안드로이드 버전과 동일하며, 유사한 통신 프로토콜을 사용합니다.


[그림 1] 피싱에 사용된 Wind Tre SpA 이탈리아 통신사

<이미지 출처: https://blog.lookout.com/esurv-research>


[그림 2] 피싱에 사용된 TMCell 투르크메니스탄의 국영 모바일 통신사

<이미지 출처: https://blog.lookout.com/esurv-research>


기술적 세부사항으로 보아, Exodus 제작에 넉넉한 개발 자금이 투자된 것으로 보이며, 정부나 법을 집행하는 분야를 노리는 것으로 추정됩니다.


해당 악성코드는 C2 통신을 위한 인증서 고정 및 공개 키 암호화 사용, 2단계 공격 시 C2 서버가 정한 지리적 제한, 포괄적이고 잘 구현된 감시 기능이 포함되어 있습니다.


Exodus는 지난달 Security Without Borders의 화이트 햇(White Hat) 보안 전문 해커들이 구글 플레이스토어에서 서비스 어플리케이션으로 위장한 앱들 약 25개를 발견해 세상에 알려졌습니다. 


구글은 제보를 받은 후 이 앱들을 스토어에서 제거했습니다.


최소 5년의 기간 동안 개발되어 온 안드로이드 용 Exodus는 3단계로 구성되었습니다. 


첫 번째 단계로 단말기 국제 고유 식별번호인 IMEI(International Mobile Equipment Identity), 전화번호 등 타깃 기기에 대한 기본 식별 정보를 수집하는 작은 드롭퍼가 있습니다.


두 번째 단계는 잘 구현된 감시 기능 제품을 배포하는 바이너리 패키지로 이루어져 있습니다.


세 번째 단계에서는 악명 높은 DirtyCOW 익스플로잇(CVE-2016-5195)을 사용하여 감염된 기기의 루트 권한을 얻습니다. 


일단 성공적으로 설치되면, Exodus는 광범위하게 감시를 수행할 수 있습니다.


또한 안드로이드 변종의 경우 감염된 기기의 화면이 꺼져있는 상태에서도 실행되도록 설계되었습니다.


안드로이드 변종에 감염된 기기는 약 1,000대로 추측되며, iOS 변종의 경우 얼마나 많은 사용자가 감염되었는지 알 수 없습니다.


애플은 이 스파이웨어에 대한 제보를 받은 후, 해당 기업 인증서를 폐지해 새로운 아이폰에 설치되거나 감염된 기기에서 실행되는 것을 막았습니다.



출처:

https://thehackernews.com/2019/04/exodus-ios-malware.html

https://blog.lookout.com/esurv-research

https://securitywithoutborders.org/blog/2019/03/29/exodus.html



티스토리 방명록 작성
name password homepage