안드로이드에 해당하는글 2


오늘날 맬웨어의 진화과정에는 일정한 패턴이 있다고 여겨진다. 우선 기본적인 기능만 있고 악성활동은 거의 없이 조용히 작동하는 맬웨어가 주로 트로이목마의 형태로 등장한다. 이 초기 악성코드는 배포되고 얼마 지나지 않아 여러 안티바이러스 업체에게 포착되긴 하지만 아직까지는 별다른 주목을 받지 못하는 잠재적 악성코드에 불과할 뿐이다.


시간이 지나고 나면 해당 트로이목마는 추가 기능을 갖추고 본격적인 위해를 가할 수 있게 되며 마지막 단계에서는 대규모 공격이 개시됨에 따라 수천 대의 기기가 감염되고 트로이목마가 본래 기획된 행동을 개시한다. 얼마나 큰 피해가 야기되는지는 트로이목마의 구체적인 유형에 따라 달라지는데 이는 수백 달러에 달하는 돈을 뜯어내는 랜섬웨어가 될 수도 있고 신용카드라든지 스파이툴을 통해 개인정보를 탈취하는 뱅킹트로이목마(banking trojan)가 될 수도 있다.



Asacub는 위와 같은 단계별 진화과정을 단적으로 보여주는 사례로 처음에는 단순한 피싱프로그램이었지만 이후 강력한 기능을 갖춘 뱅킹트로이목마로 진화했다. 이러한 Asacub보다 더욱 흉악하다고 할 수 있는 악성코드가 바로 Acecard다. Acecard 안드로이드 뱅킹트로이목마 계열 악성코드로 다른 뱅킹트로이목마와 마찬가지로 모바일 금융어플리케이션의 인터페이스에 자체 피싱 입력창을 덮어씌움으로써 사용자로 하여금 카드정보를 입력하도록 유도한다. 사용자가 입력완료 등의 기능을 실행하면 입력된 데이터가 탈취되며 악성코드 제작자 측에서는 카드에서 자기네 계좌로 돈을 빼돌리거나 해당 개인정보를 제3자에게 매각할 수 있다.


Acecard가 특히 돋보이는 이유는 우선 일반적인 뱅킹트로이목마가 고작 몇몇 뱅킹 어플리케이션만 복제 가능한 데 비해 30종에 달하는 은행 및 결제서비스를 복제할 수 있다는 점에 있다. 특히 중앙 서버로부터 별도의 명령을 부여받으면 사실상 모든 종류의 어플리케이션을 복제할 수 있기 때문에 실제로 공격대상이 되는 앱은 훨씬 많아질 수 있다. 아울러 Acecard의 복제대상이 뱅킹어플리케이션에 국한되지 않는다는 점도 위험하다. Acecard는 페이스북, 트위터, 인스타그램 등 모바일 소셜네트워크앱 그리고 왓스앱, 스카이프 등 메신저를 복제할 수 있고 페이팔과 구글 지메일 계정까지 흉내낼 수 있으며 특히 구글플레이스토어와 구글플레이뮤직에 대해서까지 피싱창을 구현할 수 있다.




Acecard는 일반적인 이메일 스팸으로도 배포되지만 플래시 등 유용한 유틸리티로 위장할 수도 있다. 참고로 안드로이드용 플래시는 2012년 이미 지원이 중단됐기 때문에 현재 정식으로 서비스가 제공되는 안드로이드 플래시 플레이어는 존재하지 않는다. 또한 구글플레이스토어를 통해 Acecard를 다운받는 트로이목마도 발견됐다. Acecard는 2014년 2월 처음 발견될 당시만 해도 특별한 악성행동을 보이진 않았지만 1년 반이 지나면서 신기능이 추가됨에 따라 실질적인 위협으로 거듭났다. 카스퍼스키 연구진은 Acecard 변종을 10종 넘게 발견했으며 각 버전은 더욱 강력한 기능을 갖춰 나가고 있다. 특히 카스퍼스키 선임맬웨어분석가 Roman Unuchek은 최근 변종을 두고 "현존 최악의 위협"으로까지 평가했다. Acecard의 본격적인 공격은 2015년 5월 시작됐으며 9월에 이르기까지 6천 명이 넘는 사용자가 공격에 노출됐다. Acecard는 호주에서 뱅킹 사이버공격이 급증한 원인이며 러시아, 독일, 오스트리아, 프랑스에서도 피해사례가 속출했다. Acecard 배후세력은 러시아어 구사자로 추정된다.




모바일 랜섬웨어 방지요령


1. 구글플레이와 같은 공식 채널을 통해서만 어플리케이션 설치. 안드로이드 보안설정을 통해 알지 못하는 출처를 통한 앱 설치를 차단해야 한다.


2. 펌웨어와 어플리케이션을 주기적으로 업데이트한다. 앱의 경우 자동 업데이트가 가능하지만 시스템은 수동으로 업데이트를 직접 해야 한다.


3. 강력한 보안솔루션 사용. 맬웨어는 구글플레이와 같은 공식채널에도 잠입할 수 있으며 미식별 취약점을 파고드는 취약점악용도 가능하기 때문에 별도의 보안솔루션이 필요하다.


<참고: 카스퍼스키 안티바이러스 상세정보>




John Snow, Android trump card: Acecard, 2. 22. 2016.

https://usblog.kaspersky.com/acecard-android-trojan/6745/


번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 8. 5. 15:31



안드로이드 키스토어(Android KeyStore)는 안드로이드OS에서 암호화키와 사용자 계정정보를 보관하는 시스템인데 최근 보안분석가 두 명이 작성한 Breaking Into the KeyStore: A Pratical Forgery Attack Against Android Keystore라는 논문을 통해 취약점이 있다는 점이 밝혀졌다.   키스토어는 키별 할당작업을 수행하여 안드로이드 앱이 자체적인 암호화키를 보관 및 생성할 수 있도록 한다. 키스토어는 키를 격리 보관하여 기기에서 삭제되기 어렵도록 처리한다.


France Telecom Orange Labs에서 재직중인 연구원 Mohamed Sabt와 Jacques Traoré가 작성한 내용에 따르면 안드로이드 키스토어는 데이터 무결성을 보장하지 못하며 따라서 공격자가 들키지 않고 보관된 키를 변경할 수 있다고 한다. 연구진은 위조 공격으로 이러한 취약점을 악용하여 키스토어에 침입하는 과정을 시연했다고 한다. "악성앱이 다른 모바일앱으로 하여금 보안프로토콜을 적용에 취약한 키를 사용하도록 하는 공격이 가능하다.. 공격자가 들키지 않은 채 사용자 보안을 침해할 수 있다는 면에서 이는 명백한 위협이다."


연구진은 또한 어플리케이션이 키스토어에 대칭키를 보관하는 경우의 공격 시나리오를 제시하기도 했다. "예컨대 256비트 HMAC 키를 32비트 수준으로 몰래 변경하여 사용자가 실제 보안수준을 오인하도록 유도할 수 있다. 네트워크를 제어하는 외부자는 이를 악용하여 이렇게 취약한 키를 사용하는 프로토콜을 뚫어버릴 수 있다. 이 공격은 탐지되지 않은 채 진행될 수 있다는 점에서 실질적으로 중대한 위협이 될 수 있다."


연구진은 이번 연구가 보안 문제에서 직관을 믿어서는 안 된다는 중요한 사실에 방점을 찍고 있다고 설명한다. "시스템 설계자는 대체로 암호화방식을 선정할 때 입증된 안전성보다는 간결함을 기준으로 삼는 경향이 있다. 위 연구에서도 나타나듯 이는 시스템 전체에 심각한 결과를 초래할 수 있기 때문에 좋은 선택이 아니다."




VIPRE Security News, Android’s Encryption System Has Gaping Holes, Researchers Claim, 7. 18. 2016.

https://blog.vipreantivirus.com/security-news-room/androids-encryption-system-gaping-holes-researchers-claim/


번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 7. 20. 13:09

위로가기