미국의 저가형 폰에서 선설치된 악성코드 발견돼

More pre-installed malware has been found in budget US smartphones

Virgin Mobile의 Assurance Wireless에 연결된 저가형 폰에 악성코드가 선설치된 것으로 나타났습니다.

지난 1월, Malwarebytes의 사이버 보안 연구원들은 Assurance Wireless에서 Lifeline Assistance 프로그램의 일부로 판매한 저가형 폰인 Unimax(UMX) U686CL의 안드로이드 OS에서 번들로 제공된 제거가 불가능한 악성코드를 발견했습니다.

이 앱들은 사용자의 동의 없이 다른 소프트웨어를 설치하며 제거할 수 있는 방법은 없었습니다.

Malwarebytes의 연구원들은 또다시 저가형 폰에서 유사한 보안 문제를 발견했습니다.

문제의 스마트폰은 안드로이드 OS 7.1.1을 사용하는 ANS(American Network Solutions) UL40입니다.

Malwarebytes의 연구원인 Nathan Collier는 지난 1월 보고서를 발표한 이후로 여러 사용자로부터 다양한 ANS 기기에서 유사한 문제가 발견되었다는 제보를 받았다고 밝혔습니다. 

하지만 직접 물리적으로 기기를 살펴보지 않고는 문제를 확인하기가 어려웠습니다. 전문가들은 조사를 위해 ANS UL40 기기를 손에 넣었습니다. 

이 기기가 아직까지 Assurance Wireless에서 판매되고 있는지는 확실하지 않지만, 제조사의 웹사이트에는 여전히 사용자 매뉴얼이 게시되어 있었습니다. (현재는 접근이 불가능한 상태입니다.) 

또한 이 기기는 여전히 온라인 스토어 및 마켓에서 구매가 가능했습니다. 조사 결과 UMX U686CL와 마찬가지로 설정 앱, 무선 업데이트 앱이 해킹된 상태였습니다. 

하지만 이러한 앱은 동일한 악성코드 변종에 감염된 것은 아니었습니다. Collier는 감염 상태는 유사하지만 각각 고유한 감염 특성을 가지고 있었다고 밝혔습니다.

설정 앱은 다운로더인 Wotby로 탐지되었으며, 트로이목마 앱은 외부에서 앱을 다운로드할 수 있었습니다.

연구원들은 이 악성 앱이 서드파티 스토어에서 다운로드 가능하다는 증거를 찾지는 못했습니다. 

WirelessUpdate 앱은 사용자에게 알리거나 허가를 받지 않고 자동으로 앱을 설치하는 것이 가능한 잠재적 유해 프로그램(PUP - Potentially Unwanted Program)으로 간주됩니다.

이 앱은 보안 수정을 위한 OTA(over-the-air) 업데이트와 OS 업데이트의 역할을 하며 안드로이드 트로이목마 패밀리인 HiddenAds 변종 4개를 설치합니다.

HiddenAds는 애드웨어의 일종으로 사용자에게 광고 폭격을 가합니다. 

Malwarebytes는 악성코드의 출처를 확인하기 위해 WirelessUpdate를 비활성화 후 재활성화했습니다. 24시간 이내에 애드웨어 변종 4개가 비밀리에 설치되었습니다.

UMX와 ANS에 설치된 악성코드가 다르기 때문에 연구원들은 이 두 개 사이에 연결고리가 있는지 확인하고자 했습니다. 

공통된 부분은 ANS 설정 앱이 ‘teleepoch’라는 이름으로 서명된 인증서를 사용했다는 것이었습니다. 

추가 조사 결과 이 인증서는 미국의 UMX로 등록된 TeleEpoch Ltd로 추적되었습니다.

“ANS UL40에서 발견된 설정 앱이 UMX가 등록한 브랜드 회사의 디지털 인증서로 서명된 것을 발견했습니다.”

“이는 전혀 다른 폰 제조사와 모델, 다른 악성코드 변종, 다른 설정 앱이었지만 결국 모두 TeleEpoch Ltd와 연관되어 있었습니다. 또한 Lifeline Assistance 프로그램을 통해 설정 앱에 악성코드를 선 설치한 것으로 보이는 브랜드 2개는 ANS와 UMX였습니다.”

Collier는 이후 ANS L51를 검사한 결과 UMX U683CL와 동일한 악성 앱들이 발견되었다고 밝혔습니다.

하지만 이 악성 앱을 다운로드한 것이 제조사의 소행인지, 아니면 공급망 중 한곳에서 발생한 일인지는 확실하지 않습니다.

UMX는 지난 1월 U683CL의 악성 앱에 대한 제보를 받은 후 이를 제거했습니다. 

Malwarebytes는 ANS 또한 이 문제를 빨리 해결할 것이라고 믿는다고 밝혔습니다.

이번 주 초, 카스퍼스키 연구원들은 스마트폰과 태블릿에서 삭제가 어려운 모바일 애드웨어가 점점 정교해지고 있다고 밝혔습니다. 

※ 관련글 바로가기:

▶ Pig in a poke: smartphone adware (July 6, 2020)

연구원들이 발견한 공격의 14.8%에서 악성코드가 시스템 파티션을 감염시켜 제거할 경우 기기 오류를 발생시킬 수 있는 상태였습니다.

현재 알약M에서는 해당 악성코드 샘플에 대해 'Trojan.Android.Agent'으로 탐지 중에 있습니다.

출처:

https://www.zdnet.com/article/more-pre-installed-malware-has-been-found-in-budget-us-smartphones/

https://blog.malwarebytes.com/android/2020/07/we-found-yet-another-phone-with-pre-installed-malware-via-the-lifeline-assistance-program/