2024-03-29 06:30 (금)
스테이지프라이트 변종 악성코드 ‘Metaphor’, 안드로이드 기기에 치명적 위협
상태바
스테이지프라이트 변종 악성코드 ‘Metaphor’, 안드로이드 기기에 치명적 위협
  • 길민권
  • 승인 2016.03.28 02:11
이 기사를 공유합니다

현재 약 2억3천5백만대 기기가 해당 취약점에 취약한 것으로 추정
지난해 7월 처음 발견된 안드로이드 스마트폰을 해킹할 수 있는 치명적인 보안 취약점인 일명 '스테이지프라이트(Stagefright)'의 변종 ‘Metaphor’ 익스플로잇이 공개되었다. 이 취약점을 이용하면 삼성, 엘지, HTC 등 안드로이드 폰을 단 20초안에 제어할 수 있다고 해외 보안전문가들은 말하고 있다.
 
Metaphor은 이스라엘 보안회사 Northbit이 발견한 취약점으로, Stagefright 취약점과 관련 있는 것으로 나타났다. 이 취약점에 영향을 받는 기종은 Nexus5, LG G3, HTC One, Sansung Galaxy S5 헤드셋이다. 뿐만 아니라 안드로이드 2.2~4.0, 5.0, 5.1을 사용하는 기기들도 Metaphor 취약점에 영향을 받는다고 밝혔다.


Northbit. Metaphor 관련 보고서 이미지
 
시만텍 측은 지난해 “안드로이드 버전 2.2 이상의 운영체제(OS)에서 발견된 ‘스테이지프라이트’는 스마트폰에서 사용하는 문자 메시지 애플리케이션에 자동 다운로드 기능이 설정되어 있는 경우, MMS를 통해 수신자가 모르는 사이에 악성 코드를 보내 공격한다. 공격자는 사진, 동영상 등이 첨부된 MMS를 통해 스마트폰에 침입해, 승인 없이도 SD카드, 카메라 등 개인 정보를 포함하고 있는 모든 정보에 접근할 수 있다”고 경고한 바 있다.
 
알약은 공식 블로그를 통해 “Metaphor은 사용자에게 비디오를 호스팅하는 링크가 포함된 메시지를 통해 유포된다. 사용자가 이 링크를 클릭하면, 비디오 플레이어가 충돌을 일으키며 재시작된다. 재시작 되면서 스마트폰의 하드웨어, 소프트웨어와 관련된 정보들이 공격자에게 전송되며 이러한 정보들을 기반으로 공격자는 해당 디바이스에 취약점 존재여부를 확인할 수 있다”고 설명하고 있다.  
 
또 알약 측은 다음과 같이 설명하고 있다. 이후 악성코드가 포함된 새로운 비디오 링크가 사용자에게 전달되는데 이 링크를 클릭하면 모바일 브라우저의 취약점이 악용되면서 공격자가 사용자의 스마트폰을 제어할 수 있게 된다.
 
Metaphor은 안드로이드 Mediaserver 라이브러리 컴포넌트의 결점인 CVE-2015-3864를 악용한다.
 
Stagefright 취약점은 지난해 7월 처음 발견되었으며, 처음 발견된 이후 지금까지 Mediaserver에 대해 24회 이상 패치한 바 있다. 3월 둘째주에도 구글은 Stagefright 취약점을 수정하는 두 개의 크리티컬 취약점 패치를 발표했다.
 
NorBit은 안드로이드 Mediaserver 컴포넌트에서 ASLR을 우회하는 방법을 찾았다고 말했다. ASLR을 뚫기 위해서는 기기에 대한 정보가 필요한데, 동일한 취약점을 사용해 임의의 포인터를 획득해 브라우저로 유출 된 정보를 열람하고, ASLR을 우회하기 위한 정보를 모을 수 있게 되는 것이라고 밝혔다.
 
또한 너비, 높이, 기간 설정을 포함한 <video> 태그를 사용해 목표 폰으로 보낸 미디어 파일 내 암호화 된 자바스크립트(JavaScript) 메타데이터(Metadata)를 실행할 수 있다고 말했다. 그 후 Mediaserver가 해당 미디어 파일 내의 메타데이터를 웹 브라우저에 파싱 및 전송함으로써 공격자가 사용자 휴대폰을 제어 할 수 있게 되는 것이다.
 
현재까지 약 2억3천5백만대의 기기가 해당 취약점에 취약할 것으로 추산되고 있다. 이와 관련해 구글과 기기 제조사들은 별다른 공지를 내놓고 있지 않은 상황이다.
 
현재 알약은 해당 악성코드에 대해 Misc.Android.Stagefright.Detector로 탐지하고 있다고 밝혔다.
 
NorthBit의 Metaphor 관련 상세 분석보고서는 데일리시큐 자료실에서 다운로드 가능하다.
 
★정보보안 대표 미디어 데일리시큐!★
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★