[해외보안동향] 사용자 모르게 멀웨어를 다운로드 및 설치하는 익스플로잇 테크닉, Tapjacking

사용자 모르게 멀웨어를 다운로드 및 설치하는 익스플로잇 테크닉, Tapjacking

여러 개의 화면창 중복을 허용하는 안드로이드 API의 기능을 이용해 사용자 몰래 멀웨어를 설치할 수 있는 이슈가 발견되었습니다. 이 API는 안드로이드 버전을 탑재한 모든 기기에서 악용될 수 있습니다.

이 권한을 통해 생성되는 대화창은 (WindowManager.LayoutParams.TYPE_SYSTEM_ALERT) 사용자에게 배터리 부족 등의 이벤트를 알리기 위해 폭 넓게 사용됩니다. 이벤트 처리 API(또는 메소드)와 이 기능을 결합하면, 사용자 모르게 다른 어플리케이션을 다운로드 및 설치시킬 수 있습니다. 또한, 어플리케이션의 대화창을 터치할 수 없도록 만들며 항상 화면의 맨 앞에 뜨도록 수정할 수 있습니다. 따라서, 사용자들은 대화창에 아래의 3가지 파라미터만 사용해야 합니다.

– LayoutParams.FLAG_NOT_FOCUSABLE (대화창이 포커싱 될 수 없다)

– LayoutParams.FLAG_NOT_TOUCHABLE (터치 이벤트는 이 대화창에 전송되지 않을 것이다)

– LayoutParams.FLAG_NOT_TOUCH_MODAL (터치 이벤트는 자동으로 밑에 있는 다른 화면으로 전송될 것이다)

사용자는 대화창이 항상 스크린 맨 윗 쪽에 표시되도록 설정할 수 있으며 터치 이벤트는 그 아래의 대화창으로 전송시킬 수 있습니다. 공격자는 버튼과 이미지들을 적절하게 배치하여 사용자들이 그 아래의 특정 위치를 클릭할 수 있도록 유도할 수 있는 것입니다. (참고: 이 피싱 API(또는 메소드)는 게임이나 모든 어플리케이션에서도 가능합니다.)

구글 플레이 스토어는 해당 권한에 대해서 사용자들에게 공개하지 않은 상황입니다. 여기에는 탭재킹(Tapjacking)이라는 익스플로잇 테크닉이 사용되었으며, 이는 사용자들 모르게 멀웨어를 다운로드 및 설치시킬 수 있습니다. 모든 버전들은 잠재적으로 해당 취약점의 영향을 받을 수 있습니다. 

※ 테스트 환경

– Nexus 4 under Android 4.3, Android 4.4

– Nexus 5 under Android 4.4

참조:

http://www.nes.fr/securitylab/?p=1865