ISP 업체가 Hermit 스파이웨어로 표적 스마트폰 감염시키는데 악용돼
헤르밋(Hermit)이라는 정교한 모바일 스파이웨어가 카자흐스탄 정부에 의해 국경 내에서 사용되었다는 사실이 밝혀진지 일주일 후 구글은 감염된 안드로이드 사용자에게 이 사실을 알렸다고 밝혔다.
또한 구글 위협 분석 그룹(TAG)은 지난 23일 보고서에서 모든 사용자를 보호하기 위해 안드로이드의 기본 제공 멀웨어 방어 서비스인 Google Play Protect에 필요한 변경 사항이 구현되었다고 말했다.
더해커뉴스에 따르면, RCS Lab이라는 이탈리아 공급업체의 제품인 Hermit은 지난 주 Lookout이 발표한 문서에 따르면 모듈식 기능 집합과 통화 기록, 연락처, 사진, 정확한 위치 및 SMS 메시지와 같은 민감한 정보를 수집하는 기능이 있다고 전했다.
기기에 완전히 침투하면 피해자가 사용하는 다양한 포그라운드 앱을 감시하기 위해 안드로이드의 접근성 서비스에 대한 권한을 남용하는 것 외에도 오디오를 녹음하고 전화를 걸고 리디렉션할 수도 있다.
또한 모듈성은 또한 스파이웨어의 기능을 마음대로 확장하거나 변경할 수 있도록 완전히 사용자 정의할 수 있게 한다. 누가 캠페인의 표적이 되었는지, RCS Lab 고객 중 누가 참여했는지는 밝혀지지 않았다.
1993년부터 운영된 밀라노에 본사를 둔 RCS Lab은 "전 세계 법 집행 기관에 20년 이상 합법적인 감청 분야에서 최첨단 기술 솔루션과 기술 지원을 제공한다"고 주장한다. 유럽에서만 매일 1만 개 이상의 요격 목표가 처리되는 것으로 알려졌다.
짐페리움 위협 보고 책임자는 "Hermit은 민간인과 그들의 모바일 장치를 표적으로 삼는 데 디지털 무기가 사용되는 또 다른 예이며 관련된 악의적인 당사자가 수집한 데이터는 분명 매우 귀중한 자료가 될 것이다"라고 말했다.
타깃은 초기 감염 벡터로 드라이브 바이 다운로드를 통해 전화기를 스파이 도구에 감염시키고, 이는 클릭 시 공격 체인을 활성화하는 고유한 링크를 SMS 메시지로 보내는 것을 수반한다.
공격자들은 타깃의 인터넷 서비스 제공업체(ISP)와 협력해 모바일 데이터 연결을 비활성화한 후 수신자에게 모바일 데이터 액세스를 복원하기 위해 애플리케이션을 설치하도록 촉구하는 SMS를 보낸 것으로 의심된다.
연구원들은 "이것이 대부분의 애플리케이션이 이동통신사 애플리케이션으로 가장한 이유라고 생각한다. ISP 개입이 불가능할 때는 응용 프로그램은 메시징 응용 프로그램으로 가장한다"라고 설명했다.
iOS 사용자를 손상시키기 위해 공격자는 앱 스토어에서 사용할 필요 없이 가짜 이동통신사 브랜드 앱을 기기에 사이드로드할 수 있는 프로비저닝 프로필에 의존했다고 한다.
앱의 iOS 버전을 분석한 결과 CVE-2018-4344, CVE-2019-8605, CVE-2020-3837, CVE-2020-9907, CVE-2021-30883, CVE-2021-30983 등 6가지 익스플로잇을 활용하여 장치에서 WhatsApp 데이터베이스와 같은 관심 파일을 추출하는 것으로 나타났다.
구글 프로젝트 제로 이안 비어는 마이 보다폰 통신사 앱을 가장한 iOS 아티팩트에 대한 심층 분석에서 "메모리 손상 악용 비용이 점점 더 비싸지는 방향으로 곡선이 천천히 이동함에 따라 공격자들도 이동하고 있다"고 말했다.
안드로이드에서 드라이브 바이 공격을 위해서는 피해자가 알 수 없는 출처의 타사 애플리케이션을 설치하도록 설정해야 하며, 이로 인해 악성 앱이 삼성 같은 스마트폰 브랜드로 위장하여 악의적인 목표를 달성하기 위해 광범위한 권한을 요청하게 된다.
안드로이드 버전은 APK 파일에 익스플로잇을 번들로 묶는 대신 메인 앱과 통신할 수 있는 임의의 원격 컴포넌트를 가져오고 실행할 수 있는 기능을 포함한다는 점에서 다른 방식으로 연결된다.
연구원들은 "이 캠페인은 공격자가 항상 필요한 권한을 얻기 위해 익스플로잇을 사용하는 것은 아니라는 것을 상기시켜준다. 기본 감염 벡터와 다운로드에 의한 드라이브는 여전히 작동하며 로컬 ISP의 도움으로 매우 효율적일 수 있다."라고 덧붙였다.
구글은 2021년에 발견한 9개의 제로데이 익스플로잇 중 7개가 상용 제공업체들에 의해 개발되어 정부 지원 행위자들에게 판매되고 사용되었다고 말하면서, 익스플로잇과 감시 기능을 거래하는 것으로 알려진 다양한 수준의 정교함을 갖춘 30개 이상의 벤더를 추적하고 있다고 말했다.
게다가 구글 TAG는 RCS Lab과 같은 공급업체가 "제로 데이 취약점을 비밀리에 비축하고 있다. 지난 10년 동안 수많은 스파이웨어 공급업체가 침해당했다는 점을 고려할 때 심각한 위험을 초래할 수 있다. 비축된 제로데이들은 경고 없이 공개적으로 공개될 수 있다"고 우려를 표했다.
TAG는 "우리의 연구 결과는 상업용 보안 감시 공급업체가 지금까지 익스플로잇을 개발하고 운영하기 위해 기술적 전문성을 갖춘 정부에서만 사용하던 기능을 얼마나 많이 보유하고 있었는지를 보여준다"라고 말하며 "감시 기술의 사용은 국내법이나 국제법에 따라 합법일 수 있지만, 정부는 반체제 인사, 언론인, 인권 운동가, 야당 정치인을 대상으로 하는 민주적 가치에 반대되는 목적으로 사용하는 경우가 많다"고 설명했다.
이에 대해 RCS Lab은 "핵심 사업은 합법적인 감청, 법의학 정보 및 데이터 분석을 전담하는 소프트웨어 플랫폼의 설계, 제작 및 구현"이라며, 테러 행위, 마약 밀매, 조직 범죄, 아동 학대, 아동 학대 등과 같은 심각한 범죄를 예방하고 수사하는 데 도움이 된다"고 밝혔다.
★정보보안 대표 미디어 데일리시큐!★