포스팅 내용

국내외 보안동향

애플 DRM 취약점을 악용하여 탈옥하지 않은 iOS 기기를 감염시킬 수 있는 AceDeceiver 악성코드 발견!

애플 DRM 취약점을 악용하여 탈옥하지 않은 iOS 기기를 감염시킬 수 있는 AceDeceiver 악성코드 발견!

TROJAN EXPLOITS APPLE DRM FLAW, PLANTS MALWARE ON NON-JAILBROKEN IOS DEVICES


보안연구원들에 따르면, 중국의 약 600만대의 iOS 기기들이 AceDeceiver 악성코드에 감염되었다고 밝혔습니다. 


Palo Alto가 발견한 AceDeceiver 악성코드는 애플의 DRM 소프트웨어의 설계상 결점을 악용하여 Windows PC들을 통하여 iOS 기기들을 감염시킬 수 있습니다. 


지금까지 AceDeceiver는 중국에 있는 iOS 사용자들에게만 영향을 미친것으로 보이며, 애플의 FairPlay DRM 시스템을 이용하여 탈옥하지 않은 기기들을 성공적으로 감염시킨 첫 악성코드 입니다. 


AceDeceiver 악성코드는 중간자 공격을 실행하는 공격자들이 사용자의 애플 ID를 유출하도록 속이는 역할을 할 뿐만 아니라, iOS 기기로의 접근을 허용하는 역할을 하기도 합니다. 


AceDeceiver의 또 다른 특이한 점은 정식 애플 개발자 인증서를 악용해왔던 ZergHelper 등 이제까지 iOS 멀웨어와는 차별화 된다는 점 입니다. 


AceDeceiver은 'FairPlay 중간자공격'으로 알려진 2년된 기술을 약간 변형하여 사용했을 뿐만 아니라, 사용자가 알아채지 못하게 iOS 기기에 악성앱을 설치하는 최초의 악성코드 이기도 합니다. 


AceDeceiver의 현재 중국 사용자만을 타겟으로 하고 있지만, 다른 국가들 역시 쉽게 타겟이 될 가능성이 있다고 설명하였습니다. 


공격자들은 2015년 7월부터 2016년 1월까지, 애플 앱스토어에 AceDeceiver의 스크린 세이버 3가지를 등록하였으며, 이 앱들은 애플 사용자들이 iTunes 앱 승인 코드를 공격자에게 전송하도록 속이기 위하여 설계되었습니다. 


이는 나중에 Windows 어플리케이션인 Aisi Helper와 함께 사용될 수 있습니다. Aisi Helper는 주로 중국 PC 사용자들에게 마케팅 되고있는 iOS용 유틸리티로, iOS 시스템 백업 및 재설치, 탈옥, 기기관리, 시스템 클리닝을 도와준다고 합니다. 


Windows 사용자들이 Aisi Helper 소프트웨어를 PC에 설치하고 여기에 iOS 기기를 연결하면, 공격자는 사용자가 알지 못하게 iOS 기기에 악성앱을 설치할 수 있게됩니다. 이 후 공격자들은 애플의 AceDeceiver의 승인 서버를 사용하여 FairPlay DRM 핸드쉐이크를 스푸핑 함으로서, 이러한 공격을 실행할 수 있습니다. 이러한 타입의 공격을 'FairPlay 중간자공격'이라고 하며, 2014년 처음 발견되었습니다. 


애플은 지난 2월 AceDeceiver 취약점에 대해 제보 받은 후 이 3개의 앱을 앱스토어에서 삭제하였습니다. 하지만 Palo Alto는 이 취약점이 여전히 Aisi Helper 소프트웨어를 통하여 악용이 가능하며, 공격자가 애플 승인의 복사본을 얻을 수 있는 한 굳이 앱스토어에 접근할 필요가 없다고 말했습니다. 애플의 DRM 취약점을 이용하면, iTunes 생태계 밖에서도 승인이 이루어질 수 있기 때문입니다


AceDeceiver 악성코드는 일단 iOS에 설치되면 사용자 기기에서 써드파티 앱 스토어 역할을 합니다. 이 써드파티 앱 스토어는 공격자들에 의해 제어되며, 다양한 유틸리티와 게임들을 제공합니다. 사용자들은 무료 해적판 iOS 앱을 무제한 다운로드 하기 위해서는 애플 ID를 입력하라고 요구합니다. 


현재 이와 관련하여 애플에 코멘트를 요청했지만, 아직 답변을 받지 못한 상태입니다. 



참고 : 

https://threatpost.com/trojan-exploits-apple-drm-flaw-plants-malware-on-non-jailbroken-ios-devices/116820/

http://researchcenter.paloaltonetworks.com/2016/03/acedeceiver-first-ios-trojan-exploiting-apple-drm-design-flaws-to-infect-any-ios-device/



  1. 2017.05.11 21:29  수정/삭제  댓글쓰기

    이 글을 쓰신지 1년이 지났습니다만

    제가 이 방법으로 현재까지 해킹을 당하고 있습니다

    먼저 컴퓨터를 해킹 당했고 컴퓨터에 아이폰을

    연결했는데 그 이후로 카메라 제어와 도청을 당합니다

    스마트폰을 범죄자에게 넘겨준적이 없는데
    위와 같은 상황이 가능한가요?

    그리고 범죄자 잡을수 있을까요
    최혁이라는 소름끼치게 생긴 범죄자입니다

    알약블로그 운영진 도움이 필요합니다

    • 알약(Alyac) 2017.05.12 09:05 신고  수정/삭제

      안녕하세요. 알약입니다. 죄송하지만 말씀하신 내용만으로는 정확한 증상 파악이 어려워 답변을 드리기 어렵습니다. 질문하신 부분 중 스마트폰이 악성앱에 감염되었다면, 공격자는 탈취한 권한을 통해 원격에서 악성행위를 시도할 수 있는 점 확인 부탁 드립니다. 자세한 내용은 경찰청 사이버안전국(http://cyberbureau.police.go.kr/index.do)에 신고하셔서 도움을 받아보시는 것을 권해 드립니다. 감사합니다.

  2. 2017.05.12 10:29  수정/삭제  댓글쓰기

    가장 처음에는 사이트 접속을 유도하여 컴퓨터를 해킹 당했습니다
    그 이후에는 아이폰을 연결했는데 그 때 아마 위와 같은 상황으로 진행된 모양입니다
    아이폰 탈옥을 안했는데 통화도청과 카메라 제어 그리고 제가 했던 모든 행동들을 압니다
    사이버경찰은 신고 접수를 위해 디지털증거가(물적증거) 필요하다는데 그것을 못잡아서 여기에 글을 남깁니다 디지털 포렌식 업체도 이런 경우을 모르는건지 못잡았습니다
    컴퓨터 해킹 역시 알약 돌려봤지만 우회를 하는지 잡히지가 않아요( ddos 까지 걸었습니다)
    제가 하는 모든 행동들을 익명게시판에 올리는데도 수사를 안해줍니다
    방법이 없을까요

    • 알약(Alyac) 2017.05.15 08:50 신고  수정/삭제

      안녕하세요. 구체적인 디지털 증거가 없다면, 저희 측에서도 확인이 어려워 자세한 도움을 드리기 어렵습니다. 말씀 드린 사이버수사대에 신고하시거나, 사이버테러를 신고할 수 있는 118번에 연락하여 도움을 받아보시는 것을 추천 드립니다. 범죄 수사의 경우 저희와 같은 보안 업체에서는 구체적인 도움을 드릴 수 없는 점 깊이 양해해주시기 바랍니다. 감사합니다.

  3. 핼프 2017.05.31 20:35  수정/삭제  댓글쓰기

    디지털 증거 못잡으면 어쩌죠
    말씀드린대로 수사대에 신고접수자체가 안됩니다
    그리고
    문제는 초기화를 해도 여전히 범죄자가 보고 있어요
    핸드폰 바꾸는 수밖에 답이 없나요?
    조언이라도... 도움좀 부탁드립니다
    컴퓨터해킹당하면 스마트폰 연결시
    스마트폰 제어 가능한거 맞죠??

    • 알약(Alyac) 2017.06.01 09:57 신고  수정/삭제

      안녕하세요. 아이폰을 탈옥하지 않았다면 PC 연결만으로 아이폰에 악성코드가 감염되는 사례는 거의 없을 것 같습니다. 또한 초기화까지 진행하셨음에도 불구하고 동일한 상황이 발생한다면, 스마트폰에서의 로그인 계정정보가 유출된 것으로 의심됩니다. 자주 사용하시는 사이트 등의 로그인 계정정보를 모두 변경하시길 부탁 드립니다. 다시 한 번 말씀드리지만 디지털 증거가 없다면 저희 쪽에서도 도움을 드리기 어렵습니다. ㅠㅠ 이 점 확인 부탁 드릴게요. 감사합니다.

티스토리 방명록 작성
name password homepage