중국 앱 스토어에서 발견된 iCloud 자격 증명을 훔치는 악성코드에 감염된 인기 iOS 앱

애플의 중국 앱 스토어에서 발견된 정보 유출 악성코드에 감염된 앱들

iOS 앱 스토어는 애플의 엄격한 보안 검증 덕분에 일반적으로 신뢰할 수 있는 소프트웨어 출처입니다. 그러나 최근 공식 애플 앱 스토어에 호스팅된 여러 중국 앱이 사용자 전화에서 정보를 빼내는 불법 코드에 감염된 것으로 밝혀졌습니다. 해커들은 iOS 및 OS X용 앱을 만들기 위해 개발자가 사용하는 소프트웨어의 일부 버전을 목표로 삼은 것으로 보입니다.

중국 개발자들은 웨이보에서 이 악성코드를 처음으로 강조했으며, 이후 알리바바의 연구자들이 분석했습니다. 또한 보안 회사인 팔로 알토 네트웍스가 결과를 검증했습니다.

보안 전문가들에 따르면, 매우 인기 있는 메신저 및 소셜 네트워킹 앱인 WeChat과 중국에서 우버의 주요 경쟁자인 Didi Kuaidi와 같은 인기 앱조차도 위협을 안고 있었습니다.

해킹은 전적으로 iOS 및 OS X 앱을 만드는 데 사용되는 도구인 Xcode에 의존합니다. 일반적으로 Xcode는 애플에서 무료로 직접 다운로드할 수 있습니다. 그러나 개발자 포럼과 같은 다른 출처에서도 Xcode를 받을 수 있습니다. 문제는 개발자들이 제3자 사이트에서 변경된 버전의 Xcode(알리바바 연구자들에 의해 “XcodeGhost”라고 명명됨)를 다운로드하면서 시작되었습니다.

많은 개발자들이 애플에서 직접 다운로드하는 대신 바이두 클라우드 파일 공유 서비스에서 Xcode를 다운로드하기로 선택했습니다. 그러나 그 다운로드는 변경되어 악성코드를 추가한 앱을 구성하게 되었고, 그 결과 아이폰에서 장치 이름 및 기본 네트워크 정보와 같은 무해해 보이는 데이터를 수집하게 되었습니다.

그러나 이 악성코드는 그렇게 섬세하지 않습니다. 팔로 알토 네트웍스의 수석 악성코드 연구원인 클라우드 샤오는 포브스에 “이 악성코드는 공격자가 원격으로 제어하여 피싱하거나 로컬 시스템 또는 앱 취약점을 악용할 수 있다”고 말했습니다. 이는 XcodeGhost가 잠재적으로 더 위험할 수 있음을 의미하며, 추가적인 악용을 위한 아이폰의 진입점이 되는 것으로 보입니다.

팔로 알토 네트웍스의 유닛 42 연구 부서의 정보 이사인 라이언 올슨은 다음과 같이 설명했습니다: “감염된 장치에 대한 정보를 업로드하기 위해 명령 및 제어 서버에 연락한 후, 악성코드는 서버로부터 암호화된 응답을 검색합니다. 이 응답에는 여러 가능한 명령이 포함되어 있습니다. 그 중 하나는 사용자에게 경고 프롬프트 형태로 보낼 메시지를 지정합니다.”

“우리는 이것이 감염된 앱 사용자로부터 iCloud 자격 증명을 ‘피싱’하는 데 사용되었다는 증거를 가지고 있습니다. 응답에는 앱이 열게 될 URL도 포함될 수 있습니다. 우리는 이것이 어떻게 사용되는지 모르지만, 전화의 다른 앱을 잠재적으로 악성 리소스로 보낼 수 있습니다.”

앱이 다운로드되면 XcodeGhost 코드로 개발된 앱은 고객의 장치에 대한 여러 세부 정보를 수집합니다. 추출된 데이터에는 장치 이름, UUID, 언어, 국가 네트워크 유형 및 현재 시간이 포함됩니다. 이 정보는 해커가 실제로 당신에게 사용할 수 있는 것이 아닙니다. 큰 위반은 아니지만, 아무도 알 수 없는 출처에 의해 추적되는 것을 원하지 않습니다.

비공식 출처에서 Xcode 복사본을 얻은 모든 개발자가 영향을 받을 수 있습니다. 미국에 본사를 둔 팔로 알토 네트웍스에 따르면, 처음에는 감염이 중국 앱에 국한된 것으로 보였고 주로 중국 사용자에게 영향을 미쳤습니다. 그러나 이제는 훨씬 더 많은 범위의 앱이 감염되어 전 세계 수억 명의 사용자에게 영향을 미친 것이 분명해졌습니다. 이 회사는 미국 및 여러 다른 국가에서 가장 인기 있는 명함 리더 및 스캐너인 CamCard가 XcodeGhost를 포함하고 있다고 언급했습니다.

기업 앱을 만드는 개발자들도 XcodeGhost의 영향을 받을 수 있습니다. 이러한 앱은 회사가 자사 직원의 장치에 대해 특별히 만든 앱으로, 애플의 보안 검증을 거치지 않아도 됩니다. 그러나 “그것은 꽤 불분명한 공격입니다.”라고 2011년 자신의 악성 소프트웨어를 앱 스토어에 올린 우버의 보안 연구원 찰리 밀러가 Wired에 말했습니다.

앱 스토어 자체의 악성코드는 큰 문제가 아니지만, 여기서 더 큰 질문은 애플의 엄격한 보안 검증을 어떻게 통과했는가입니다.

“당신은 앱 개발자를 완전히 신뢰할 수 있지만, 그 개발자가 완전히 신뢰할 수 있을 수도 있지만, 이 경우 앱이 그렇지 않았습니다.”라고 밀러는 말했습니다. 변조된 버전의 Xcode로 만들어진 소프트웨어가 앱 스토어에 어떻게 올라왔는지에 대한 사실입니다.

애플은 XcodeGhost 및 감염된 앱에 대한 논평 요청에 응답하지 않았습니다.

악성 앱을 다운로드한 소비자와 사람들이 걱정해야 할까요? 아마도 약간만. “나는 너무 걱정하지 않을 것입니다.”라고 밀러는 말합니다. 통과한 앱들은 불쾌한 일을 하려는 것처럼 보이지 않았습니다. “만약 당신이 정말로 명백히 나쁜 것을 만들었다면, 아마도 [애플]이 그것을 잡았을 것입니다.”라고 밀러는 말합니다.

이 이야기의 도덕은 이러한 신뢰할 수 없는 앱 중 하나를 다운로드했다면 삭제하고, 다른 앱이 통과한 것에 대한 보고를 따르라는 것입니다. 또한 개발자들은 무작위 제3자 사이트에서 도구를 다운로드해서는 안 됩니다.