파이어아이, 악성 라이브러리 포함한 iOS 앱 대거 포착… ‘IBACKDOOR’ 위협 우려

  • 추후 백도어로 악용 가능한 광고 라이브러리 앱스토어 통해 배포돼.. 2,846개의 앱에 영향
  • 백도어 활성화하려는 서버 접속 시도 900번에 이르러.. 실제 백도어 기능 활성화 될 가능성 농후

2015년 11월 17일 – 지능형 사이버 공격 방어 기술의 선도업체인 파이어아이(지사장 전수홍, www.fireeye.kr)가 애플 앱스토어에서 백도어(Backdoor)로 활용될 수 있는 악성 광고 라이브러리가 포함된 수 천 개의 iOS앱을 발견했다고 밝혔다. 공격 그룹은 감염된 라이브러리를 통해 사용자 및 기기 정보에 악의적으로 접근할 수 있으며, 현재까지 2,846개의 iOS 앱이 해당 라이브러리를 포함하고 있는 것으로 조사됐다.

이 악성 라이브러리는 중국 기반 광고 회사인 애드세이즈(adsage)의 모바일 광고사인 모비세이즈(mobisage)의 SDK(Software Development Kit)에서 발견됐다. 해당 SDK는 일반적으로 iOS 개발자들이 앱에서 광고를 게재하기 위해 활용한다. 파이어아이는 모비세이즈 SDK의 5.3.3~6.4.4버전에 걸쳐 총 17개 버전에서 악성 광고 라이브러리가 포함된 것을 확인했다고 전했다. 가장 최신 버전인 7.0.5 버전에서는 발견되지 않았다.

파이어아이는 배후 조직에 관해, 애드세이즈가 직접 악성 광고 라이브러리를 자사의 SDK에 추가했는지 혹은 또 다른 서드 파티에 의한 소행인지 여부는 아직까지 밝혀지지 않았다고 전했다.

현재까지 밝혀진 바에 따르면, 2,846개의 iOS 앱에서 악성 라이브러리가 포함된 모비세이즈 SDK가 발견됐다. 또한, 백도어를 제어하는 자바 스크립트 코드를 받기 위한 원격 서버로의 접속이 900번 이상 포착됐다. 아직까지 원격 서버로부터 음성 녹음 혹은 민감 정보를 유출하려는 악성 명령은 전달되지 않았지만, 감염된 앱들이 계속해서 새로운 자바스크립트 코드를 받기 위한 접속을 시도하고 있어 결국 백도어 기능이 활성화 될 가능성을 배제할 수 없다는 것이 파이어아이의 설명이다.

악성 라이브러리의 잠재적인 백도어는 원격 서버에서 자바 스크립트 코드가 로드되면 다음과 같은 기능을 수행한다.

  • 음성 및 스크린샷 캡쳐
  • 디바이스 위치 정보 모니터링 및 업로드
  • 엡 데이터 컨테이너 내 파일 읽기/삭제/생성/수정
  • 앱의 키체인(Keychain) 읽기/쓰기/리셋
  • 암호화된 데이터를 원격 서버에 게시
  • 기기에 설치된 다른 앱 식별 및 실행을 위한 URL 실행
  • 사용자로 하여금 설치 버튼을 누르게 유도하여 비공식 스토어에서 앱 사이드 로드

모비세이즈의 악성 광고 라이브러리는 각각 오브젝티브-C와 자바 스크립트에서 실행되는 두 가지 구성 요소인 ‘msageCore’ 와 ‘masageJS’ 를 통해 iOS기기를 대상으로 해킹을 시도한다. 오브젝티브-C 요소, 즉, msageCore는 백도어의 기본이 되는 기능을 설치하고, 웹뷰(WebView)를 통해 자바스크립트 콘텍스트에 인터페이스를 노출시킨다. 한편, 자바스크립트 요소인 masageJS는 msageCore에 의해 노출된 인터페이스를 작동시켜 백도어를 생성한다.

파이어아이 코리아의 전수홍 지사장은 “감염된 앱의 수가 대규모이고, 이들이 계속해서 백도어 생성을 위한 서버 접속을 시도함에 따라, 많은 iOS기기들이 백도어를 통한 해킹 위협에 처해있다”며 “파이어아이는 더 이상의 피해를 막기 위해 감염된 앱 리스트와 기술적인 정보를 애플에 공유한 상태”라고 덧붙였다.

보다 자세한 정보는 파이어아이 공식 블로그(https://www.fireeye.com/blog/threat-research/2015/11/ibackdoor_high-risk.html)에서 확인할 수 있다.

참고자료

파이어아이에 대하여
파이어아이는 사이버 공격 방어에 특화된 가상 머신(MVX) 기반의 보안 플랫폼을 개발한 보안솔루션 업체로, 지능형 지속위협(APT), 제로데이와 같이 기업과 정부 기관을 대상으로 발생하는 차세대 위협에 대응하는 실시간 위협 탐지 보안 솔루션을 제공하고 있다. 파이어아이의 보안 솔루션은 시그니처 기반의 방화벽, IPS, 안티바이러스 및 웹 게이트웨이가 탐지 할 수 없는 제로데이 공격이나 변종 공격을 행위 기반 분석을 통해 효율적으로 탐지하고 차단한다. 파이어아이의 위협 차단 플랫폼은 위협으로부터의 보호를 위해 시그니처 사용 없이 주요 위협 벡터 및 각기 다른 단계의 공격 실행 주기에 걸친 실시간의 역동적인 위협 방어 솔루션을 제공한다. 파이어아이 플랫폼의 핵심은 사이버 공격을 실시간으로 차단하기 위해 역동적인 위협 인텔리전스에 의해 보완된 가상 실행 엔진이다. 파이어아이의 솔루션은 전세계 67개 국가에 걸쳐 포춘 선정 글로벌 기업 200개 기업을 포함한 3,100개 기업에서 사용 중이다. 보다 자세한 사항은 www.fireeye.kr 에서 확인 할 수 있다.

자료 문의

파이어아이 코리아         이상도 이사  / 02-559-0730 / sangdo.lee@fireeye.com

민커뮤니케이션                     대표메일 fireeye@mincomm.com

정민아 실장 / 010-6282-0677 / mina@mincomm.com

민초롱 대리 / 010-2845-0625 / chorong@mincomm.com