여러 Android OEM의 서명 키 유출, 악성 소프트웨어 서명에 사용됨

최근 개발에 따르면, Android OEM이 주요 시스템 애플리케이션을 디지털 서명하는 데 사용하는 여러 서명 키가 악성 소프트웨어가 포함된 Android 애플리케이션을 서명하는 데 사용되었습니다.

Android에서는 앱을 업데이트하려면 전화기의 서명 키가 설치하려는 업데이트의 키와 일치해야 하며, 일치하는 키가 OEM(원래 장비 제조업체) 또는 앱을 만든 개발자로부터 온 정당한 업데이트임을 인증합니다. 악의적인 소스에서 온 것이 아닙니다.

따라서 앱 업데이트 절차는 Google Play 스토어에서 다운로드한 앱뿐만 아니라 Google 또는 OEM에서 제공하는 번들 앱에도 적용됩니다. Play 스토어에서 다운로드한 앱에 대한 규칙이나 권한 세트가 이미 있지만, 번들 앱은 Play 스토어의 앱보다 훨씬 더 강력한 권한에 접근할 수 있습니다.

OEM이 시스템 앱 서명 키를 잃어버리거나 잃어버린 경우, 악성 앱이 동일한 서명 키로 서명된 경우, 이는 고도로 특권이 부여된 ‘ android.uid.system ’ 사용자 ID와 일치하므로, 해당 앱은 Android 장치에 대한 시스템 수준의 접근 권한을 얻게 됩니다.

이러한 권한은 패키지 설치 또는 삭제, 진행 중인 통화 관리, 장치에 대한 정보 수집 또는 기타 민감한 활동과 같이 일반적으로 앱에 부여되지 않는 강력한 권한에 접근할 수 있게 합니다.

이러한 키의 남용 사용은 Google Android 보안 팀의 Reserve Engineer인 Lukasz Siewierski에 의해 처음 발견되었으며, 현재 Android 파트너 취약점 이니셔티브 트래커에서 보고서가 제공되고 있습니다.

APVI에 따르면, 플랫폼 인증서는 시스템 이미지에서 Android 애플리케이션을 서명하는 데 사용되는 애플리케이션 서명 인증서입니다. Android 애플리케이션은 사용자 데이터에 접근할 수 있는 권한을 포함한 시스템 권한을 보유한 높은 권한의 ‘android.uid.system’ 사용자 ID로 실행됩니다.

더욱이, Siewierski는 이 10개의 Android 플랫폼 인증서를 사용하여 서명된 여러 개체를 발견하고 각 샘플 및 디지털 서명된 인증서에 대한 SHA256 해시를 제공했습니다.

현재로서는 이러한 인증서 키가 어떻게 유출되어 악성 소프트웨어에 서명되었는지, 하나 이상의 위협 행위자가 이에 접근할 수 있는지, 또는 누군가 내부에서 권한이 있는 서명으로 OEM 키로 APK를 서명했는지에 대한 정보가 없습니다. 또한 이러한 악성 샘플이 어디에서 발견되었는지, Play 스토어에서 공유되었는지 또는 제3자 스토어에서 공유되었는지에 대한 정보도 없습니다.

다음은 10개의 Android 플랫폼 키 패키지입니다.

com.russian.signato.renewis  
com. sledsdffsjkh.Search  
com. android.power  
com.management. propaganda  
com.sec.android.musicplayer.  
com.houla.quicken|  
com.attd.da  
com.arlo.fappx  
com.metasploit .stage  
com.vantage .ectronic .cornmuni

이 해시를 Google의 Virustool에서 검색하면 이러한 플랫폼 인증서가 삼성, LG, 미디어텍, Revoview 및 Szroco에 속한다는 것을 알 수 있습니다.

그들의 인증서로 서명된 악성 소프트웨어는 HiddenAdtrojans, 정보 도둑 및 Metasploit, 위협 행위자가 감염된 장치에 더 많은 악성 페이로드를 배포하는 데 사용할 수 있는 악성 소프트웨어 드로퍼가 발견되었습니다.

검색 엔진 거대 기업 Google은 영향을 받는 모든 공급업체에 통지하고 플랫폼 키를 회전할 것을 권장했으며, 유출의 근본 원인을 조사하고, 향후 사건이 발생하지 않도록 Android 플랫폼 인증서로 서명된 앱의 수를 최소화할 것을 권장했습니다.

또한 Google은 플랫폼 인증서로 서명된 애플리케이션의 수를 최소화할 것을 강력히 권장하며, 이는 향후 유사한 사건이 발생할 경우 플랫폼 키 회전 비용을 크게 줄일 수 있습니다.

감염된 인증서로 서명된 모든 Android 앱을 확인하려면 APK Mirror로 가서 검색하세요(삼성과 LG로 서명된 앱 목록). Google은 모든 영향을 받는 공급업체가 남용된 플랫폼 인증서에 대해 통보받았으며 사용자에 대한 영향을 줄이기 위한 시정 조치를 취했다고 밝혔습니다. 그러나 삼성은 여전히 디지털 서명된 앱에 대해 유출된 플랫폼 인증서 키를 사용하고 있습니다.

다행히도 이러한 키는 앱 업데이트에만 해당되며 OS 업데이트에 대한 서명 키는 아니므로 영향을 받는 공급업체는 여전히 새로운 시스템 앱을 포함한 안전한 OTA 업데이트를 배포할 수 있으며, 이를 통해 Google Play Protect를 새로운 호환 키로 업데이트할 수 있습니다. 그러나 이는 많은 작업이 될 것입니다.

Google은 감염된 키를 Android Build Suite에 추가했으며, 이는 시스템 이미지를 스캔하고 Google Play Protect도 악성 소프트웨어를 스캔합니다. 또한 이 악성 소프트웨어가 Google Play 스토어에 있거나 있었던 증거는 없으며, 사용자가 최신 Android 버전을 사용하고 있는지 확인할 것을 권장합니다.

읽기: A37 그룹의 돌핀 악성 소프트웨어가 데이터를 훔치고 한국 신문을 타겟으로 사용됨