세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
저가형 안드로이드 스마트폰에서 정교한 멀웨어 발견
  |  입력 : 2018-03-06 20:23
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
40개종에서 발견된 트리아다...펌웨어 속에서 숨죽이고 있어
생산 업체에 알렸으나 아무런 조치 취하지 않아...파트너사 수상


[보안뉴스 문가용 기자] 40개가 넘는 저가 안드로이드 스마트폰 기종에서 정교한 멀웨어가 발견됐다. 멀웨어의 이름은 트리아다(Triada)이다.

[이미지 = iclickart]


트리아다는 2016년 초반에 처음 발견된 멀웨어로 모바일 환경에 존재하는 위협들 중 가장 발전된 모습을 갖추고 있는 것으로 여겨진다. 그 이유는 기기 내 어떤 소프트웨어가 실행되든 자이고트(Zygote) 페어런트 프로세스를 어뷰징함으로써 코드를 주입할 수 있기 때문이다. 트리아다는 루트 권한을 사용해 시스템 파일을 바꾸고, RAM 안에 계속해서 남아있기 때문에 탐지마저 어렵다.

작년 4월 보안 전문가들은 트리아다가 샌드박스 기술까지 탑재하고 있다는 사실을 밝혀냈다. 이로써 안티멀웨어 솔루션을 더 확실하게 우회할 수 있게 되었다. 당시 트리아다에서 발견된 건 오픈소스 샌드박스인 드로이드플러그인(DroidPlugin)이었다. 드로이드플러그인은 동적 로딩과 코드 실행을 가능케 해준다.

그리고 몇 개월 후인 7월, 보안 업체 닥터웹(Doctor Web)은 트리아다가 안드로이드 스마트폰들 중 저가형 모델들에 설치되어 있는 펌웨어를 공략하고 있다고 보안 커뮤니티에 알려왔다. Leagoo M5 Plus, Leagoo M8, Nomu S10, Nomu S20였다.

그리고 다시 몇 개월이 지난 올해 3월, 닥터웹은 또 다시 트리아다를 발견했다. 이전과 비슷하게 저가형 안드로이드 스마트폰에 심긴 것이었는데, 그 수가 훨씬 많았다. 심지어 12월에 출시된 신형 모델도 여기에 포함됐다. 모델 개수만 총 40개가 넘는다고 한다.

이번에 발견된 트리아다 버전은 Android.Triada.231이다. 과거에 발견된 모든 트리아다의 기능을 가지고 있다고 한다. 즉, 자이고트 프로세스 어뷰징 기술, 샌드박스 기술, RAM 속에 감춰져 있는 기능 등이 다 갖춰져 있다는 것이다.

“그러므로 트리아다는 다양한 악성 공격을 실시할 수 있게 됩니다. 그것도 탐지가 잘 되지도 않으면서 말이죠. 또한 모듈 구조로 되어 있기 때문에 각종 기능을 추가할 수도 있어요. 감시도 가능하고, 정보 빼내기도 가능하고, 악성 애플리케이션의 설치와 실행도 가능합니다. 또한 금융권에서 보내는 인증 메시지도 가로채 이중인증으로 보호되고 있는 계정도 장악할 수 있습니다.”

현재까지 분석된 바, 멀웨어 제조자들은 libandroid_runtime.so 시스템 라이브러리로 트리아다를 주입하는 것으로 나타났다. 닥터웹은 “공격자들이 생산 과정 중에 기기 펌웨어를 침해할 수 있다는 뜻”으로 풀이한다. “그러므로 이미 감염된 기기를 소비자들은 살 수밖에 없는 것이죠.”

닥터웹은 이 사실을 작년부터 생산자들에게 알렸다. 그러나 아무런 조치가 취해지지 않았다고 한다. “감염된 기기들이 계속해서 생산되고 있습니다. 추적을 더 해보니 Leagoo의 파트너사에 의해 펌웨어 침투가 발생하고 있다는 걸 알아냈습니다. 이 파트너사는 상해에 있는 소프트웨어 개발사입니다. 이들은 하드웨어 제조사인 Leagoo에 애플리케이션을 제공하고 있었는데, 여기서 트리아다가 발견된 것입니다.” Leagoo의 관여 여부는 아직 밝혀지지 않았다.

닥터웹의 보안 전문가들은 해당 애플리케이션이 Android.MulDrop.924와 같은 인증서로 서명되어 있다는 것도 추가로 발견했다. Android.MulDrop.924는 또 다른 멀웨어로, 2016년에 발견된 바 있다. 이 두 가지 멀웨어가 같은 인증서를 기반으로 하고 있다는 건 트리아다의 배포에 또 다른 인물들이 관여하고 있다는 뜻이 된다고 닥터웹은 설명한다.

닥터웹은 트리아다가 발견된 기기 모델을 발표했지만 “완벽한 목록이 아닐 수 있다”고도 강조했다. 즉 감염된 기기들이 더 있을 가능성이 높다는 것이다. Leagoo, ARK, Zopo, Doogee, Vertex, Advan, Cubot, Prestigio, Pelitt 등이 이 목록에 올랐다.

“많은 안드로이드폰 생산자들이 보안에 거의 신경쓰지 않는다는 걸 알 수 있었습니다. 악의적으로 그런 것일 수도 있고 아닐 수도 있지만, 보안이 우선순위에서 크게 밀린다는 것만은 확실합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 5
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)