check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

Dirty COW 리눅스 취약점 악용한 안드로이드 악성코드...5천명 이상 감염돼

길민권 기자 mkgil@dailysecu.com 2017년 10월 02일 월요일

andr-4.jpg
리눅스 커널에 영향을 미치는 Dirty COW 취약점이 공개되고 약 1년 후인 최근, 연구원들은 범죄자들이 안드로이드 사용자들에게 이를 악용하기 시작했다고 경고했다.

Dirty COW 취약점은 리눅스 커널 내 메모리서브 시스템에 copy-on-write를 할 때, race condition을 발생시킬 수 있는 취약점이다. 악의적인 사용자는 해당 취약점을 이용해 루트권한을 획득할 수 있다.

작년 10월 공개 된 Dirty COW 취약점은 리눅스 커널 부분에 수년간 존재했으며, 활발히 악용되고 있었다.

이 취약점은 권한이 없는 로컬 공격자가 race condition 이슈를 통해 루트 권한을 얻어, 루트에 있는 읽기 전용 실행 파일에 접근해 원격 공격을 실행할 수 있도록 허용한다.

그리고 최근 보안연구원들은 Dirty COW로 알려진 이 권한 상승 취약점(CVE-2016-5195)을 활발히 악용 중이라고 밝혔다.

이는 해당 취약점이 모바일 플랫폼에서 악용 된 첫 번째 사례다.

이 악성코드는 Dirty COW 익스플로잇을 사용해 안드로이드의 리눅스 커널의 Copy-on-write(COW) 메커니즘을 통해 안드로이드 기기를 루팅시키고, 공격자들이 데이터를 수집하고 유료 폰 번호를 통해 수익을 창출하는데 사용될 수 있는 백도어를 설치했다.

연구원들은 Dirty COW 익스플로잇을 사용하는 ZNIU 악성코드를 1,200대 이상의 악성 안드로이드 앱에서 발견했다. 이들 중 일부는 성인 컨텐츠 및 게이밍 앱으로 위장니다.

Dirty COW 취약점은 모든 안드로이드 OS에 영향을 미치지만, ZNIU의 Dirty COW 익스플로잇은 ARM/X86 64비트 아키텍쳐를 갖춘 안드로이드 기기에서만 작동한다. 그러나 이 최근 익스플로잇은 SELinux를 우회하고 백도어를 설치할 수도 있다.

ZNIU 악성코드를 내장한 앱이 다운로드 및 설치 되면, 이 앱은 C&C 서버와 통신해 업데이트 된 코드가 있는지 확인한다. 그리고 동시에 DirtyCOW 익스플로잇을 이용해 로컬 권한 상승을 통해 기기의 루트 접근 권한을 얻은 후 시스템의 제한사항들을 우회해 “미래에 이루어질 원격 제어 공격을 위한 백도어”를 설치한다. 또한 통신사 정보를 수집해 중국의 가짜 회사로 보내지는 유료 SMS 메시지를 통해 돈을 지불하려고 시도한다. SMS 트랜잭션이 끝나면, 이 악성코드는 기기에서 메시지를 삭제해 해킹의 흔적을 지운다.

연구원들은 이 악성코드가 이미 최근에만 5천명 이상의 안드로이드 사용자들을 감염 시켰으며, 주요 피해자들은 중국과 인도이며, 미국, 일본, 캐나다, 독일, 인도네시아를 포함한 40개국에도 피해자가 존재한다고 밝혔다.

구글은 이미 Dirty COW 취약점을 수정하는 안드로이드용 패치를 발표했다. 또한 구글은 Play Protect 기능이 이제는 이 악성코드를 탐지하는 것을 확인했다.

이 악성코드에 감염 되는 것을 막는 가장 쉬운 방법은 공식 구글 플레이 스토어에서만 앱을 다운로드 하는 것이다. [정보출처: 이스트시큐리티]

★정보보안 대표 미디어 데일리시큐!★


<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
목록