안드로이드·iOS 취약점 이용한 스파이웨어 발견

구글 발표…"감염 기기서 피해자 위치 추적하고 .IPA 파일 설치"

컴퓨팅입력 :2023/03/30 10:06

안드로이드와 iOS, 크롬의 제로데이 및 N데이 취약점을 이용해 상업용 스파이웨어를 설치하는 공격 행위가 발견됐다.

보안 전문 매체 블리핑컴퓨터는 29일(현지시간) 구글 위협 애널리시스 그룹(TAG)이 안드로이드, iOS, 크롬 제로데이와 N데이 취약점을 이용해 상업용 스파이웨어를 설치하고 악성 앱을 타깃된 기기에 설치하는 익스플로잇 체인을 발견했다고 보도했다.

공격자들은 지난해 11월에 발견된 첫 번째 캠페인의 일환으로 별도의 익스플로잇 체인으로 iOS와 안드로이드 사용자를 표적으로 삼았다.

(사진=씨넷)

공격자는 bit.ly 단축 링크를 푸시하는 메시지를 사용해 피해자를 이탈리아, 말레이시아, 카자흐스탄의 합법적인 배송 웹사이트로 리디렉션한 후, iOS 웹키트 원격 코드 실행 제로데이(CVE-2022-42856)와 샌드박스 탈출(CVE-2021-30900) 버그를 악용하는 익스플로잇을 트리거하는 페이지로 보냈다.

감염된 iOS 기기에서 공격자는 피해자의 위치를 추적하고, .IPA 파일을 설치할 수 있는 페이로드를 드롭했다.

동일한 캠페인의 일환으로 안드로이드 익스플로잇 체인은 크롬 GPU 샌드박스 우회 제로 데이(CVE-2022-4135), ARM 권한 상승 버그(CVE-2022-38181), 크롬 유형 혼동 버그(CVE-2022-3723)를 사용해 ARM GPU가 탑재된 기기를 공격하는 데도 사용됐다.

구글 TAG 클레망 르신은 "ARM이 CVE-2022-38181에 대한 패치를 발표했을 때, 픽셀, 삼성, 샤오미, 오포 등 여러 공급업체가 패치를 적용하지 않아 공격자들이 몇 달 동안 이 버그를 자유롭게 악용할 수 있는 상황이 발생했다"고 말했다.

두 번째 캠페인은 지난해 12월 발견됐다. 구글TAG 연구원들이 최신 삼성 인터넷 브라우저 버전을 표적으로 삼는 익스플로잇 체인을 발견한 후였다.

관련기사

르신은 "두 캠페인 모두 고도로 표적화된 공격이었으며, 공격자들은 수정 배포와 최종 사용자 기기에 완전히 배포되는 시점 사이의 큰 시간차를 이용했다"고 말했다.

국제엠네스티는 29일 별도의 보고서를 통해 "새로 발견된 스파이웨어 캠페인은 최소 2020년부터 활동했으며, 구글 안드로이드 운영체제 사용자를 포함한 모바일 및 데스크톱 기기를 표적으로 삼았다"며 "스파이웨어와 제로데이 익스플로잇은 여러 국가의 미디어 웹 사이트를 스푸핑하는 도메인으로 구성된 광범위한 네트워크에 전달됐다"고 말했다.