안드로이드를 루팅하는 악성코드

정밀 타격

Google Play 스토어에서 스파이웨어가 발견됐다. Camero, FileCrypt Manager, callCam 등 총 3개다. 이들은 모두 한통속인데 이중 Camero와 FileCrypt Manager는 드로퍼이고, callCam이 최종 페이로드인 스파이웨어다.

이들은 2019.3월부터 활동한 것으로 보이는데, 최근에야 플레이 스토어에서 삭제됐다. Trend Micro는 이들을 SideWinder라는 해커단의 소행으로 판단했다.

이 글에 사용된 모든 그림은 트렌드 마이크로의 보고서(참1)에서 캡처한 것이다.

이들 악성 앱의 다운로드 수는 아주 적다. 유능한 해커단인 사이드와인더가 이런 듣보잡 앱을 등록해 놓고, 많은 사용자가 다운로드하길 기다렸을 리는 없다. VIP에게 이메일이나 메신저로 링크를 보냈을 것이다. 오히려 많은 다운로드를 원하지 않았을 것이다. 사용자가 많아지면 보안 앱에 노출될 가능성도 커지기 때문이다.

2단계 드로퍼

최근 많은 Android 악성코드가 dropper 혹은 downloader를 사용해 플레이 스토어에 침투하고 있다. 드로퍼나 다운로더는 무해한 앱으로 가장하여 플레이 스토어에 등록되고, 나중에 스토어 외부에서 악성코드를 다운로드한다.

사이드와인더는 탐지를 회피하기 위해 드로퍼를 2단계로 설계했다. 1단계 드로퍼는 플레이 스토어에 등록하고, 실행시 해커의 C2 서버에서 2단계 드로퍼를 다운로드한다. 2단계 드로퍼는 실행 파일인 dex 파일로, 최종 payload인 apk 파일을 다운로드한다.

CVE-2019-2215 악용해 rooting

드로퍼 Camero는 표적 기기의 취약점을 이용해 루팅한다. 카메로는 구글 픽셀 2, LG V20 등 일부 기종만을 노린다.

CVE-2019-2215는 안드로이드 운영체제의 권한 상승 취약점으로, 루트 권한을 획득할 수 있다. 기기를 완전히 제어할 수 있는 것으로, 스파이웨어 전문 회사 NSO Group이 활용하기도 했다(관1).

또한 MediaTek의 CPU를 사용한 기기에는, 미디어텍 CPU의 취약점을 활용해 루트 권한을 획득하는 MediaTek-SU 툴을 사용했다.

루팅에 성공하면 해커는 완전한 제어권을 갖기 때문에, 사용자가 알지도 못하게 최종 페이로드를 설치하고 접근성 권한을 부여한다.

접근성 권한 악용

드로퍼 FileCrypt Manager는 안드로이드의 접근성(accessibility) 권한을 이용한다. 이 방법은 모든 안드로이드 스마트폰에 이용할 수 있지만, 처음 1번은 사용자의 허락이 있어야 한다는 단점이 있다.

접근성 권한은 사용자의 클릭이나 기타 반응이 있는 것처럼 운영체제를 속일 수 있기 때문에, 악성코드에 곧잘 이용되곤 한다(관2).

파일크립트는 일단 접근성 권한을 얻은 후에, 설치 작업이 진행 중인 것처럼 보이는 전체 화면 창을 띄운다. 그 동안에 추가 악성코드를 다운로드하고, 출처를 알 수 없는 앱 설치를 허용하도록 시스템 설정을 바꾸고, 최종 페이로드에 접근성 권한을 부여한다. 파일크립트가 이미 접근성 권한을 얻었기 때문에, 이런 추가 악성행위는 사용자의 동의가 필요 없고 알 수도 없다.

callCam

최종 페이로드인 콜캠은 스파이웨어로, 다음과 같은 정보를 수집해서 해커에게 전송한다.

위치.
배터리 상태.
기기에 있는 파일들.
설치된 앱 목록.
기기 정보.
센서 정보.
카메라 정보.
스크린샷.
계정.
와이파이 정보,
위챗, 아웃룩, 트위터, 야후 메일, 페이스북, 지메일, 크롬의 데이터.


관련 자료

1. NSO에 악용되고 있는 안드로이드 제로데이 취약점
2. Anubis 악성코드, Google Play에 지속적으로 출현

참고 자료

1. First Active Attack Exploiting CVE-2019-2215 Found on Google Play, Linked to SideWinder APT Group