상세 컨텐츠

본문 제목

10억대 이상의 기기에서 앱 하이재킹 허용하는 StrandHogg 2.0 취약점

국내외 보안동향

by 알약(Alyac) 2020. 5. 27. 14:30

본문

New Android Flaw Affecting Over 1 Billion Phones Let Attackers Hijack Apps


Strandhogg를 기억하시나요?


악용될 경우 악성 앱이 사용자로 하여금 민감 정보를 입력하도록 유도하기 위해 타깃 기기에 설치된 앱으로 위장하여 가짜 인터페이스를 표시할 수 있는 안드로이드 보안 취약점입니다.


작년 말, 이 취약점이 공개되었을 당시 연구원들은 공격자들이 이미 실제 공격에서 이 취약점을 악용하여 사용자의 뱅킹 및 기타 로그인 크리덴셜을 훔치고 활동을 스파잉해왔다고 밝혔습니다.


이 노르웨이의 사이버 보안 연구 팀은 안드로이드 OS에 존재하는 새로운 치명적인 취약점인 CVE-2020-0096에 대한 세부사항을 발표했습니다. 


공격자들이 이를 악용할 경우 더욱 정교한 Strandhogg 공격이 가능합니다.


‘Strandhogg 2.0’으로 명명된 이 새로운 취약점은 안드로이드 최신 버전인 Android Q / 10을 제외한 모든 버전 안드로이드 기기에 영향을 미칩니다. 


Android Q는 전체 안드로이드 기기의 약 15% ~ 20%에서만 사용되기 때문에 나머지 수십억 대의 기기가 공격에 취약한 상태입니다.


StrandHogg 1.0은 안드로이드의 멀티태스킹 기능에 존재했습니다. 


새로운 Strandhogg 2.0 취약점은 공격자가 거의 모든 앱에 접근할 수 있도록 허용하는 권한 상승 취약점이라 볼 수 있습니다.


사용자가 정식 앱 아이콘을 클릭하면, Strandhogg 취약점을 악용할 수 있는 악성코드는 이 활동/작업에 인터셉트하여 실제 앱을 시작하는 대신 사용자에게 가짜 인터페이스를 표시할 수 있습니다.


StrandHogg 1.0은 한 번에 앱 하나만 공격할 수 있었습니다. 하지만 2.0은 공격자가 각 타깃 앱을 선 구성하지 않고도 “버튼 하나만으로 거의 모든 앱을 동적으로 공격”할 수 있었습니다.


StrandHogg 취약점은 아래 이유로 매우 위험한 것으로 간주됩니다.

사용자가 공격을 발견해내는 것은 거의 불가능합니다.

별도 구성 없이도 타깃 기기에 설치된 모든 앱의 인터페이스를 하이잭할 수 있습니다.

기기의 모든 권한을 부정한 방법으로 요청하는데 사용될 수 있습니다.

루트 권한 없이도 악용이 가능합니다.

Q를 제외한 모든 안드로이드 버전에서 작동합니다.

기기에서 동작하기 위해 특별한 권한이 필요하지 않습니다.



이 악성 앱은 가짜 화면을 통해 로그인 크리덴셜을 훔치는 것 이외에도 정식 앱으로 위장한 채 사용자가 민감한 기기 권한을 부여하도록 속여 더 많은 공격을 실행할 수 있습니다.


"악성 앱이 타깃 기기에 일단 설치되면, 공격자는 StrandHogg 2.0을 활용하여 개인 SMS 메시지 및 사진에 접근하고, 피해자의 로그인 크리덴셜을 훔치고, GPS를 추적하고, 전화를 걸거나 도청하고, 전화 기기의 카메라와 마이크를 통해 사용자를 스파잉할 수 있습니다.”


StrandHogg 2.0를 악용하는 악성코드는 안티바이러스 및 보안 스캐너가 탐지하기 더욱 힘듭니다. 따라서 최종 사용자에게는 심각한 위험이 됩니다.

 

 


<이미지 출처: https://promon.co/strandhogg-2-0/>



연구원들은 지난 12월 구글에 이 취약점을 제보했습니다.


이에 구글은 패치를 준비하기 시작해 2020년 4월 스마트폰 제조사에 이를 공개했습니다. 스마트폰 제조사는 이번 달부터 소프트웨어 업데이트를 배포하기 시작했습니다.


작업 하이재킹 공격을 차단하거나 탐지할 수 있는 효과적인 방법은 없습니다. 하지만 아래와 같은 경우 공격을 의심해볼 수 있습니다.



이미 로그인한 앱이 로그인을 다시 요구함

앱 이름을 포함하지 않은 권한 팝업이 뜸

앱이 필요하지 않은 권한을 요청함

사용자 인터페이스 내 버튼이나 링크를 클릭할 시 정상적으로 동작하지 않음

뒤로 가기 버튼이 동작하지 않음





출처:

https://thehackernews.com/2020/05/stranhogg-android-vulnerability.html

https://promon.co/strandhogg-2-0/

저작자표시

'국내외 보안동향' 카테고리의 다른 글

GitHub 공급망 공격을 통해 확산되는 Octopus Scanner 악성코드 발견  (0) 2020.05.29
코로나19 바이러스 접촉자 추적 앱으로 위장해 유포되는 [F]Unicorn 랜섬웨어 발견  (0) 2020.05.27
명령 제어 위해 Gmail 사용하는 ComRAT 백도어 변종 발견  (0) 2020.05.27
RangeAmp 공격이 웹사이트와 CDN 서버를 다운시킬 수 있어  (0) 2020.05.26
해커들, 온라인 쇼핑몰에 돈을 지불하지 않으면 데이터베이스를 팔겠다고 협박  (0) 2020.05.26

관련글 더보기

댓글 영역

티스토리툴바