: TB의 SNS 이야기 :: 앱스토어에 등록된 멜웨어 XCodeGhost 39개 iOS 앱 감염


앱스토어에 등록된 앱 중, 일부 앱(39개)이 XcodeGhost라는 멜웨어 코드를 포함하고 기기 정보를 수집 및 원격 서버로 데이터를 업로드 한다는 주장이다. 이 중에는, 'WeChat'이라는 인기 유명 인스턴트 메세징 어플리케이션을 포함한다.


iOS의 보안 취약성을 공략하는 대신에, 이 멜웨어는 애플의 공식 공급원(앱 스토어)을 통해서 애플의 사전 검열을 거친 정식 앱이라는 점이 특징이다. 이 멜웨어는 애플의 사전 검진 프로세스를 패스했거나 등록 된 후 일부 버전에 업데이트 된 방식으로 악성 코드인 Mach-O object 파일이 패키징되어 iOS 와 OS X 앱으로 배포됐다.



이러한 트로이잔 Xcode는 중국 앱 개발자들이 이용하는 Baidu 클라우드 파일 공유 서비스를 통하여 업로드 됐으며, 개발자들이 인지하지 못한 상태에서 Xcode 코딩 과정에서 감염시켰다는 설명이다.(즉, 개발자 혹은 개발사들이 의도한 부분은 아니라는 것이다.)


이 문제는 애플의 잘못이거나 문제점이라고 할 수는 없다. 이러한 것들은 애플로 부터 직접 Xcode를 다운로드 받는다면 절대 일어날 수 없는 부분들이다. 중국 개발사(자)들이 애플이 아닌 Baidu 클라우드 파일 공유 서비스를 통하여 Xcode를 다운 받았다는 것이 문제다.


앱스토어에 등록된 WeChat 를 포함한 6개의 유명 감염 앱 목록은 LMTM, InstaStock, FindAndCall, Jekyll, FakeTor이며 총 39개의 앱이 감염됐을 것으로 추정된다. XcodeGhost 라 명명된 악성 코드의 위험한 점은 앱 스토어의 악성 코드 검진 프로세스를 패스했다는 점이다. 이 멜웨어는 다음의 사용자 기기 정보를 유출시킨다.


  • Current time(현재 시간대)
  • Current infected app’s name(현재 감염된 앱의 이름)
  • The app’s bundle identifier(앱의 번들 식별)
  • Current device’s name and type(현재 기기의 이름과 종류)
  • Current system’s language and country(현재 시스템 사용 언어와 국가)
  • Current device’s UUID(UDID 수집)
  • Network type(네트워크 타입)


보다 시피 '심각한 정도'는 아니라 할 수 있으나 문제는 이러한 것들을 사용자 동의 없이 수집했다는 것이고, 목적은 타겟팅 광고로 추정된다. 또한, 앱스토어의 악성 코드 검진 프로세스를 패스했다는 점은 더 큰 문제점이 야기될 가능성이 있다는 것이다.


매번 강조하지만 이러한 것들은 '탈옥폰'의 경우 'tsProtector, Protect My Privacy, FirewalliP, SmartClose'를 통해서 백그라운드에서 사용자 동의 없이 수집하는 부분에 관하여 충분히 감지 및 차단 혹은 페이크 시킬 수 있다. 블로그를 통해서 계속해서 강조하는 부분이자 과거에도 그렇고 현재도 그렇고 앞으로도 '잘 알고 쓴다는 전제'에서 탈옥폰이 순정폰 보다 보안상 절대적으로 더 안정하다.


이러한 문제점이 발생된 배경을 짚어보자면 애플이 공식 제공하는 iOS 개발자 Xcode 파일 다운로드 속도가 매우 느리다는 점이다. 그래서, 중국 개발사(자)들이 Baidu 파일 공유를 통해서 Xcode를 다운로드 받았고 이로 인해서 유명 어플리케이션이 감염됐다는 것이다.


일반적으로 Xcode 설치 파일은 거의 3GB에 달하는데 일부 중국 개발자(사)들은 다운로드 패키지를 다른 소스로 부터 얻었고, 동료들끼리 복사로 제공하여 문제가 발생한 것으로 추정된다.


공격자들은 신뢰 할 수 없는 Xcode 패키지를 다운로드 받게 하기 위해서 트릭을 쓸 필요도 없었고 그 대신에 그들은 OS X 멜웨어를 직접적으로 X code 디렉토리에 특별한 조치 없이 포함시켰다.

Infected iOS apps


网易云音乐  2.8.3, 微信  6.2.5, 讯飞输入法  5.1.1463, 滴滴出行  4.0.0.6-4.0.0.0, 滴滴打车  3.9.7.1 – 3.9.7, 铁路12306 , 4.5, 下厨房  4.3.2, 51卡保险箱  5.0.1, 中信银行动卡空间  3.3.12, 中国联通手机营业厅  3.2, 高德地图  7.3.8, 简书  2.9.1, 开眼  1.8.0, Lifesmart  1.0.44, 网易公开课  4.2.8, 马拉马拉  1.1.0, 药给力  1.12.1, 喜马拉雅  4.3.8, 口袋记账  1.6.0, 同花顺  9.60.01, 快速问医生  7.73, 懒人周末, 微博相机, 豆瓣阅读, CamScannerCamCardSegmentFault  2.8, 炒股公开课, 股市热点, 新三板, 滴滴司机, OPlayer  2.1.05, 电话归属地助手  3.6.5, 愤怒的小鸟2 2.1.1, 夫妻床头话, .2, 穷游  6.6.6, 我叫MT  5.0.1, 我叫MT 2  1.10.5, 自由之战  1.1.0

Fox-IT (fox-it.com), a Netherlands based security company, checked all C2 domain names from our reports in their network sensors and has found thousands of malicious traffic outside China. According to their data, these iOS apps were also infected:

Mercury, WinZipMusical.ly, PDFReaderguaji_gangtai en, Perfect365, 网易云音乐, PDFReader Free, WhiteTile, IHexin, WinZip Standard, MoreLikers2, CamScanner Lite, MobileTicket, iVMS-4500, OPlayer LiteQYER, golfsense, 同花顺, ting, installer, 下厨房, golfsensehd, Wallpapers10000, CSMBP-AppStore, 礼包助手, MSL108, ChinaUnicom3.x, TinyDeal.com, snapgrab copy, iOBD2, PocketScanner, CuteCUT, AmHexinForPad, SuperJewelsQuest2, air2, InstaFollower, CamScanner, ro, baba, WeLoop, DataMonitor, 爱推, MSL070, nice dev, immtdchs, OPlayer, FlappyCircle, 高德地图, BiaoQingBao, SaveSnap, WeChat, Guitar Masterjin, WinZip Sector, Quick Save, CamCard




WeChat v6.2.5 는 감염된 것이 확인됐으며, WeChat의 개발사는 악성 코드를 제거한 v6.2.6을 배포했다. 전체적으로 감염이 확인된 앱스토어에 등록된 인기 앱은 39개고 일부는 중국에서만 인기가 있고 (인스타그램 사진 저장 앱인 InstaStock, 명함 스캔 앱인 CamCard 등)은 다른 국가에서도 인기가 있어서 전세계적으로 수백만명의 유저들이 악성 코드에 감염된 앱을 설치중이라 추정된다.


트로이잔에 감염된 앱의 형태는 인스턴트 메시징 앱, 금융 앱, 운송 앱, 맵핑 프로그램들, 주식 관련, 게임 등 광범위한 종류로 Didi Chuxing, Railway 12306, Tonghuashun, 및 China Unicom Mobile Office 등 널리 퍼져있다.


이 문제는 현재 중국 개발사(자)들의 iOS 앱 또는 OS X 앱에 제한된 것이지만, Baidu 파일 공유 시스템이라는 애플 외 비공식 다운로드 경유를 거칠 때 발생할 수 있는 문제점을 간접적으로 시사한다. 만약, 중국 외 타 국가에서 유사한 문제점이 발생한다면 언제든지 순정 iOS 앱 사용자들에게 멜웨어를 감염시킬 수 있는 가능성이 없다고 할 수 없다.


아울러, 순정 외 탈옥 사용자들을 위해서 조언을 하자면 국내 불법 공유 사이트에서 크랙 앱을 다운로드 받는 경유로 쓰이는 Baidu를 지적하고 싶다. 일부 토렌트 사이트 등에서는 토렌트 대신에 Baidu 링크로 앱스토어에서 인기 있는 유료 앱을 무료로 다운로드 받을 수 있는 Baidu 링크를 제공중이며, 해외 piracy 사이트에서는 Baidu 보다 속도는 느리지만, 역시 불법 크랙 파일을 다운로드 할 수 있는 링크를 제공중이다. '누가 무엇을 어떻게 패키징 한지도 모르는' 그런 파일들을 자신의 기기에 설치하는 행위는 자살 행위나 다름 없다.


Source: Palo Alto Networks


 T.B의 SNS 이야기 블로그의 모든 글은 저작권법의 보호를 받습니다. 어떠한 상업적인 이용도 허가하지 않으며, 이용(불펌)허락을 하지 않습니다.

▲ 사전협의 없이 본 콘텐츠(기사, 이미지)의 무단 도용, 전재 및 복제, 배포를 금합니다. 이를 어길 시 민, 형사상 책임을 질 수 있습니다.

▲ 비영리 SNS(트위터, 페이스북 등), 온라인 커뮤니티, 카페 게시판에서는 자유롭게 공유 가능합니다.


T.B의 SNS이야기 소식은 T.B를 팔로윙(@ph_TB) 하시면 실시간으로 트위터를 통해서 제공 받을 수 있습니다.

728x90
반응형
Posted by T.B

댓글을 달아 주세요

  1. BlogIcon 가온대 2015.09.20 10:46 신고  댓글주소  수정/삭제  댓글쓰기

    출처가 Palo Alto Network네요.... 요놈들은 신뢰도가....

    • BlogIcon T.B 2015.09.20 12:23 신고  댓글주소  수정/삭제

      이쪽으로 혈안이 되어있는 신뢰도가 매우 낮은 업체이긴 합니다만 이번건은 없는 얘기 지어내서 사기친건 아니니까요 ㅋ

  2. BlogIcon Dr.NODISK 2015.09.20 13:06 신고  댓글주소  수정/삭제  댓글쓰기

    아 wechat...ㅜㅜ