StrandHogg 2.0 버그로 악성 소프트웨어가 실제 앱으로 위장하고 사용자 데이터를 탈취할 수 있음

노르웨이 보안 회사 Promon의 연구원들이 해커가 거의 모든 앱에 접근할 수 있게 해주는 새로운 권한 상승 취약점을 안드로이드에서 발견했습니다.

이 안드로이드 버그는 “StrandHogg 2.0”(CVE-2020-0096)으로 명명되었으며, 가짜 인터페이스를 보여줌으로써 사용자가 개인 SMS 메시지 및 사진을 포함한 민감한 정보를 제공하도록 속입니다. 피해자의 로그인 자격 증명을 탈취하고, GPS 이동을 추적하며, 전화 통화를 하거나 녹음하고, 전화의 카메라와 마이크를 통해 엿보는 등의 공격을 수행합니다.

악명 높은 StrandHogg 취약점과 달리, StrandHogg 2.0의 결함은 권한 상승 취약점으로, 악성 소프트웨어가 거의 모든 안드로이드 앱에 접근할 수 있게 해줍니다.

“피해자가 이 인터페이스 내에서 로그인 자격 증명을 입력하면, 그 민감한 세부 정보는 즉시 공격자에게 전송되어, 공격자가 보안 민감 앱에 로그인하고 제어할 수 있게 됩니다,”라고 Promon은 말합니다.

그러나 StrandHogg는 앱을 한 번에 하나씩만 공격할 수 있는 반면, StrandHogg 2.0은 더 교활한 쌍둥이로, 올바른 앱별 맞춤 자산을 사용하여 “버튼 하나로 주어진 장치의 거의 모든 앱을 동시에 동적으로 공격하는 방법을 배웠습니다.”

더욱 악화되는 것은 StrandHogg 2.0이 “거의 탐지할 수 없는“ 상태로, 안티바이러스 및 보안 스캐너가 이를 탐지하기 어렵게 만들어 최종 사용자에게 상당한 위험을 초래합니다.

Promon은 공격자들이 StrandHogg와 StrandHogg 2.0을 함께 활용할 것으로 예측하고 있습니다. 두 취약점 모두 서로 다른 방식으로 장치를 공격할 수 있는 독특한 위치에 있기 때문에, 이를 통해 목표 영역을 최대한 넓힐 수 있습니다.

유사하게, StrandHogg에 대해 실행할 수 있는 많은 완화 조치가 StrandHogg 2.0에는 적용되지 않으며 그 반대도 마찬가지입니다.

StrandHogg 2.0의 공격은 안드로이드 10을 실행하는 장치에는 영향을 미치지 않습니다. 그러나 상당수의 안드로이드 사용자가 여전히 이전 버전(안드로이드 9.0 이하)을 사용하고 있는 것으로 보고되었으며, 이는 전 세계 인구의 상당 비율(안드로이드 활성 사용자 91.8%)이 위험에 처해 있음을 의미합니다.

Promon 연구원들은 StrandHogg 2.0의 작동 방식을 보여주는 비디오 데모를 공개했습니다:

Promon은 2019년 12월 4일 구글에 이 취약점에 대해 통보하여 구글이 버그에 대한 패치를 개발할 수 있도록 했습니다. 검색 대기업은 2020년 4월 안드로이드 생태계 파트너에게 패치를 발행했으며, 안드로이드 8.0, 8.1 및 9.0을 운영하는 장치에 대해 패치를 제공했습니다.

많은 OEM이 이러한 업데이트를 항상 제공하지 않기 때문에, 이는 수백만 대의 장치를 위험에 빠뜨립니다.

“우리는 StrandHogg 2.0을 StrandHogg의 더욱 악랄한 쌍둥이로 보고 있습니다. 해커가 두 취약점을 모두 악용하여 매우 개인적인 정보와 서비스에 접근할 수 있다는 점에서 유사하지만, 우리의 광범위한 연구를 통해 StrandHogg 2.0이 해커가 훨씬 더 넓게 공격할 수 있도록 하면서 탐지하기 훨씬 더 어렵다는 것을 알 수 있습니다,”라고 Promon의 CTO이자 창립자인 Tom Lysemose Hansen이 말했습니다.

“StrandHogg 2.0을 악용하려는 공격자는 원래 StrandHogg 취약점에 대해 이미 알고 있을 가능성이 높으며, 함께 사용될 경우 악의적인 행위자에게 강력한 공격 도구가 될 수 있다는 점이 우려됩니다.

“안드로이드 사용자는 StrandHogg 2.0을 이용한 공격으로부터 자신을 보호하기 위해 가능한 한 빨리 장치를 최신 펌웨어로 업데이트해야 합니다. 유사하게, 앱 개발자는 모든 앱이 적절한 보안 조치를 갖춘 상태로 배포되도록 하여 야생에서의 공격 위험을 완화해야 합니다.”

구글의 대변인은 회사가 오늘날까지 악성 소프트웨어가 실제로 악용되고 있다는 증거를 발견하지 못했다고 언급했습니다.

“우리는 연구원들의 작업에 감사하며, 그들이 확인한 문제에 대한 수정 사항을 발표했습니다,”라고 구글 대변인이 말했습니다.

또한, 안드로이드 장치에 내장된 앱 스크리닝 서비스인 Google Play Protect는 StrandHogg 2.0 취약점을 악용하려는 앱을 차단할 것입니다.

Promon은 사용자가 최근에 발표된 보안 업데이트로 안드로이드 장치를 가능한 한 빨리 업데이트하여 취약점을 수정할 것을 권장합니다.