구글, 일부 안드로이드 기기에 백도어가 사전 설치되었다고 확인

트리아다 백도어가 몇몇 안드로이드 기기에 사전 설치되었다고 구글이 밝혀

구글은 최근 일부 안드로이드 핸드셋이 고객에게 배송되기 전 스마트폰 제조업체에 의해 무의식적으로 악성코드에 감염되었다고 확인했습니다.

구글은 자세한 연구 게시물에서 해커들이 어떻게 트리아다라는 악성코드를 안드로이드 기기에 사전 설치된 소프트웨어를 조작하여 설치했는지 설명했습니다. 트리아다는 광고를 표시하는 스팸 앱을 설치하도록 설계된 악성코드입니다. 트리아다의 제작자는 스팸 앱에서 표시되는 광고로 수익을 올렸습니다.

“트리아다는 생산 과정에서 제3자를 통해 기기 시스템 이미지를 감염시킵니다. 때때로 OEM은 얼굴 잠금 해제와 같은 안드로이드 오픈 소스 프로젝트의 일부가 아닌 기능을 포함하고 싶어합니다.

OEM은 원하는 기능을 개발할 수 있는 제3자와 파트너십을 맺고 전체 시스템 이미지를 해당 공급업체에 개발을 위해 보냅니다… 분석에 따르면, 우리는 ‘예후오’ 또는 ‘블레이즈파이어’라는 이름을 사용하는 공급업체가 반환된 시스템 이미지를 트리아다로 감염시켰다고 믿습니다.”라고 안드로이드 보안 및 개인 정보 보호 팀의 루카스 시에비에르스키가 블로그 게시물에서 썼습니다.

“트리아다 가족”의 트로이 목마는 카스퍼스키 연구소의 보안 연구원들에 의해 처음 발견되었으며, 2016년 3월 그들의 웹사이트에 블로그 게시물로 설명되었습니다. 이후 2016년 6월에 후속 블로그 게시물이 있었습니다.

그 당시, 이는 권한 상승 후 하드웨어를 악용하도록 설계된 루팅 트로이 목마로 언급되었습니다. 2016년 트리아다의 작동 방식에 대해 인지한 후, 구글은 모든 기기에서 트리아다 샘플을 제거하기 위해 Play Protect를 통해 탐지를 구현했습니다.

그러나 악성코드 뒤에 있는 악당들은 또 다른 비정상적인 접근 방식을 취하고 2017년 여름에 더 스마트한 버전의 트로이 목마를 출시했으며, 이는 2017년 7월 안티멀웨어 공급업체인 Dr. Web에 의해 발견되었습니다.

“2017년 여름 동안 우리는 새로운 트리아다 샘플에서 변화를 감지했습니다. 기기를 루팅하여 권한을 상승시키는 대신, 트리아다는 사전 설치된 안드로이드 프레임워크 백도어로 발전했습니다.

트리아다의 변화에는 아래에 강조된 구성 문자열로 시연된 안드로이드 프레임워크 로그 기능에 대한 추가 호출이 포함되었습니다.”라고 시에비에르스키가 덧붙였습니다.

“로그 기능에 백도어를 통해 추가 코드가 로그 메서드가 호출될 때마다 실행됩니다(즉, 전화의 어떤 앱이든 로그를 시도할 때마다). 이러한 로그 시도는 초당 여러 번 발생하므로 추가 코드가 중단 없이 실행됩니다. 추가 코드는 메시지를 기록하는 앱의 컨텍스트에서 실행되므로 트리아다는 어떤 앱 컨텍스트에서도 코드를 실행할 수 있습니다.

트리아다의 초기 버전에서 코드 주입 프레임워크는 마시멜로 이전의 안드로이드 릴리스에서 작동했습니다.”

그러나 가장 우려되는 점은 표준 방법으로 삭제할 수 없다는 것입니다. “이 트로이 목마를 제거하는 유일하게 안전하고 보안적인 방법은 깨끗한 안드로이드 펌웨어를 설치하는 것입니다.”라고 Dr. Web이 블로그 게시물에서 썼습니다.

Dr. Web의 보고서에 따르면, Leagoo M5 Plus, Leagoo M8, Nomu S10, Nomu S20와 같은 여러 안드로이드 기기에서 수정된 버전의 트리아다가 감지되었습니다. 구글은 악성코드에 감염된 모바일 기기를 공개하지 않았지만, 블로그 게시물에서 Dr. Web의 보고서를 확인했습니다.

구글은 이후 영향을 받은 OEM(원래 장비 제조업체)과 협력하여 시스템 업데이트를 제공하고 트리아다 변종의 흔적을 제거하며 OTA(무선) 업데이트를 통해 백도어를 차단했습니다.

구글은 또한 OEM에 대해 모든 안드로이드 기기에서 트리아다 및 유사한 위협에 대해 시스템 이미지를 스캔하는 “빌드 테스트 스위트”라는 자동화된 시스템을 제공하고 있습니다. 또한 구글은 OEM에게 네트워크 내 모든 제3자 코드에 대한 보안 검토를 수행하고 의심스러운 활동을 모니터링할 것을 요청했습니다. 추가로 구글은 이미 시장에 출시된 기기를 정기적으로 평가하여 공급망 공격을 찾아낼 것입니다.