보안 연구소에서 취약점을 악용하여 사용자의 개인 정보 및 원격 제어에 불법적으로 접근하는 앱이 발견되었다고 밝혔습니다.

국내 보안 연구 기관인 다크네이비는 공개 웹사이트에 인터넷 공급업체의 앱이 안드로이드 시스템의 허점을 악용하여 권한을 상승시켜 사용자의 개인정보를 획득하고 스스로 삭제되지 않도록 했다고 주장한 글을 게시했습니다.
인터넷 공급업체가 무해해 보이는 자체 앱에 사용한 첫 번째 해킹 기법은 최근 몇 년간 매우 효과적인 공격으로 알려진 풍수 - 안드로이드 소포 직렬화 및 역직렬화 불일치 취약점 시리즈를 악용하여 시스템 체크섬을 우회하는 0데이/N데이 공격을 수행하는 것입니다! 첫 번째는 시스템 수준의 StartAnyWhere 기능입니다.
휴대폰 시스템을 제어한 후, 앱은 일련의 비준수 작업을 시작하여 개인정보 보호 규정을 우회하고 사용자의 개인 정보(소셜 미디어 계정 정보, 위치 정보, Wi-Fi 정보, 기지국 정보, 심지어 라우터 정보 등)를 수집합니다. 또한 앱은 다른 해킹 기술을 사용하여 휴대폰 제조업체의 OEM 코드에서 내보낸 루트 경로 FileContentProvider를 사용하여 시스템 앱 및 민감한 시스템 애플리케이션 파일을 읽고 쓰고, 샌드박스 메커니즘을 뚫고 권한 시스템을 우회하여 주요 시스템 구성 파일을 다시 써서 자신을 살리기 위한 작업을 수행합니다. 휴대폰 제조업체의 OEM 코드에서 파생된 파일 콘텐츠 공급자 경로를 통해 시스템 앱과 민감한 시스템 애플리케이션 파일을 읽고 쓰고, 샌드박스 메커니즘을 뚫고 권한 시스템을 우회하여 주요 시스템 구성 파일을 다시 작성하여 자신을 살리고, 사용자의 데스크톱(런처) 구성을 수정하여 자신을 숨기거나 사용자를 속여 제거를 방지하며, 동적 코드 파일을 덮어쓰고 다른 애플리케이션을 탈취하여 백도어 삽입을 달성할 수 있습니다. 그 후 동적 코드 파일을 덮어쓰는 방식으로 다른 애플리케이션을 추가로 탈취하여 백도어 실행 코드를 주입함으로써 더욱 은밀하게 장기 체류하고, 스파이웨어와 동일한 원격 제어 메커니즘을 구현하여 원격 '클라우드 제어 스위치'를 통해 불법 행위의 시작과 중지를 제어하여 탐지를 피하기도 합니다.

Previous:

Next:

답글 남기기

댓글을 달려면 로그인하세요