중국의 주요 전자상거래 서비스인 Pinduoduo(拼多多)의 Android용 앱에 사용자를 모니터링하는 악성코드가 포함된 의혹에 대해 보안회사 Lookout의 연구자가 해당 앱이 Android의 취약성을 악용했다는 사실을 발견했다고 보도되고 있습니다.
Android app from China executed 0-day exploit on millions of devices | Ars Technica
https://arstechnica.com/information-technology/2023/03/android-app-from-china-executed-0-day-exploit-on-millions-of-devices/
Android app from China executed 0-day exploit on millions of devices
Fast-growing e-commerce app Pinduoduo had an EvilParcel stow-away.
arstechnica.com
Pinduoduo는 농가로부터 제공받은 농산물을 구입할 수 있다는 e커머스 서비스로 음식에 대한 의식이 높아지고 있는 중국인들 사이에서 대히트한 앱입니다.
그러나 중국의 보안연구원이 익명으로 과다한 안드로이드 앱에 악성코드가 포함되어 사용자의 행동을 감시했다고 고발했습니다. 이에 따라 Google은 Pinduoduo의 공식 앱에 Google Play 보호를 적용하여 Google Play 스토어에서 게재를 중단했습니다.
Google flags apps made by popular Chinese e-commerce giant as malware | TechCrunch
https://techcrunch.com/2023/03/20/google-flags-apps-made-by-popular-chinese-e-commerce-giant-as-malware/
Google flags apps made by popular Chinese e-commerce giant as malware
Several apps made by Chinese e-commerce giant Pinduoduo were flagged as malicious and dangerous by Google.
techcrunch.com
이 익명 보안연구자에 의한 고발이 이루어지기 몇 주 전에 Dark Navy라고 자칭하는 조사서비스가 "2022년에서 가장 허용할 수 없는 취약성"이라는 제목의 보안보고서를 발표했는데 내용 중에는 유명한 인터넷 업체들은 계속해서 새로운 안드로이드 OEM 관련 취약점을 파악하고 현재 시장에서 주류인 휴대전화 시스템에 취약성 공격을 구현하고 공개된 앱에 구현할 것이라고 경고했습니다.
「 深蓝洞察 」2022 年度最“不可赦”漏洞
https://mp.weixin.qq.com/s/P_EYQxOEupqdU0BJMRqWsw
「 深蓝洞察 」2022 年度最“不可赦”漏洞
此刻正使用安卓的用户,隐私应得到保护。
mp.weixin.qq.com
이번에 Lookout이 보여준 코드샘플에는 'LuciferStrategy'라는 문자열이 포함되었습니다. 이 'LuciferStrategy'는 Dark Navy의 조사보고서에서 복수 안드로이드 스마트폰 제조업체의 OEM 코드에 있는 deserialization 취약점을 악용하고 해킹의 첫 번째 단계인 권한 승격을 완료하는 익스플로잇 체인의 코어링크로 표시된 코드에 포함된 문자열이었습니다. 즉,
Dark Navy가 보고서에서 익스플로잇 구현을 지적한 곳은 Pinduoduo의 Android 앱이었다는 것입니다.
Lookout은 사전분석을 통해 Pinduoduo의 Android 앱의 오프플레이 버전에서 적어도 2개가 CVE-2023-20963이라는 취약점을 악용하는 것으로 밝혀졌습니다. 이 취약점은 2022년 9월에 발견된 제로데이 취약점으로 앱에 권한 승격을 허용했습니다. 실제로 Pinduoduo의 Android 앱에서도 특권 환경 내에서 개발자가 지정한 사이트에서 코드를 다운로드하여 실행했다는 것.
다음은 CVE-2023-20963을 악용한 익스플로잇 'EvilParcel'과 관련된 코드입니다.
EvilParcel에 관한 코드를 포함한 압축파일 'mw1.bin'를 읽어들이는 부분.
Lookout 연구자는 제로데이 취약점뿐만 아니라 감염된 장치에 위젯 추가, 설치된 앱의 사용통계 추적, 알림 분석, Wi-Fi 및 위치정보 액세스가 이루어진 증거도 나왔습니다.
왜 이러한 악성코드가 앱에 포함되어 있었는지에 대해 Lookout의 연구자는 'Pinduoduo 앱개발자의 의도적 배포', '악의적인 내부관계자의 업무', '외부에서 입수한 비밀키가 유출된 경우', 'Pinduoduo 앱의 소프트웨어 빌드시스템을 침해한 공급망 공격' 등의 가능성이 있다고 보았습니다.
현재 Google Play 스토어에서 Pinduoduo의 Android 앱을 다운로드할 수 없지만 Samsung이나 Oppo 등 각 스마트폰 메이커가 개설하고 있는 앱스토어에서는 다운로드가 가능합니다. IT 뉴스사이트 Ars Technica는 "Google Play 스토어에서 Pinduoduo를 삭제한 조치는 당연하다"고 보았습니다.
파일을 분석한 Lookout의 연구자 중 한 명인 Christoph Hebeisen 씨는 “이 악의적인 앱은 '앱 기반 맬웨어로서 매우 고급공격'을 수행하는데 최근 몇 년간 이러한 익스플로잇은 대량 배포된 앱에서는 볼 수 없었습니다. 이러한 정교한 앱을 기반으로 악성코드가 침입하는 것을 고려하면 이 익스플로잇은 Anrdoid 사용자가 방어해야 할 중요한 위협"이라고 보았습니다.
'IT' 카테고리의 다른 글
| 파산한 가상화폐거래소 FTX가 10조 원 이상의 자금을 회수 (0) | 2023.04.14 |
|---|---|
| 대부분의 패스워드를 1분 이내에 크래킹할 수 있는 AI 'PassGAN' (0) | 2023.04.12 |
| 네트워크 성능이 향상된 현재의 PC에 최적화된 이미지 코덱 'rdopng' (0) | 2023.04.05 |
| 무료 프라이버시 강화 브라우저 'Mullvad Browser'가 등장 (0) | 2023.04.04 |
| 환자의 진단기록을 컴퓨터가 체크하는 시스템으로 보험회사가 보험금 지불을 대량으로 거부 (0) | 2023.03.28 |
| 웹사이트 사용자를 식별하는 '핑거프린트'는 생각보다 더 지독하다 (0) | 2023.03.23 |
| 브라우저로 AI용 슈퍼컴퓨터에 액세스할 수 있는 'DGX Cloud'를 NVIDIA가 발표 (0) | 2023.03.22 |
| Google이 동영상의 고밀도 캡션을 고정밀도로 처리하는 'Vid2Seq'를 발표 (0) | 2023.03.21 |
