Zimperium Global Mobile Threat Report 2023 (3)

Zimperium Global Mobile Threat Report 2023

 

 

 

3.1. 지속적으로 증가하는 모바일 전용 피싱

 

1) 주요 시사점

 

- 이메일 기반 공격보다 SMS 피싱 공격에 빠질 가능성이 6~10배 더 높습니다.

- 현재 피싱 사이트의 80%는 모바일 기기 또는 모바일과 데스크톱 모두에서 작동하도록 설계되었습니다.

- 피싱 공격의 가장 높은 비율을 차지하는 분야는 금융 서비스 입니다.

 

 

2) 문제의 범위

 

피싱은 사이버 공격의 가장 일반적인 형태 중 하나입니다. 사실상 노트북이나 모바일 기기를 가진 모든 사람을 대상으로 합니다.

 

① APWG(Anti-Phishing Working Group)에 따르면 2022년 3분기에만 120만 건 이상의 피싱 공격 확인

② 2022년 소매업 종사자 중 한 명이 평균 49개의 피싱 이메일 수령 (SMS 제외)

③ 모든 데이터 유출의 74%에는 피싱으로 인한 지속적인 위협 강조

④ 2022년 FBI 인터넷 범죄 보고서에 따르면 피싱은 지난 5년 동안 가장 많이 보고된 인터넷 범죄로써 미국 내 피해자가 300만 명 이상인 것으로 추정

 

사이버 공격 방어 기술이 이메일 기반 피싱 위험을 탐지하고 완화하는 데에 집중하면서 공격자들은 모바일 기기를 목표로 하는 새로운 공격 경로를 고안해냈습니다. 인스턴트 메시징 앱, SMS, 가짜 QR코드 를 활용합니다.

 

 

3) 모바일 피싱에 빠진 사용자

 

모바일 피싱은 효과가 있습니다. 일반 사용자는 피싱 문자와 이메일을 많이 받지만 결코 속지 않는다고 말할 것입니다. 그러나 Zimperium 조사에 따르면 2022년 동안 보안된 장치에서 클릭된 평균 4개의 악성/피싱 링크를 탐지했습니다.

 

 

4) 모바일 중심 공격의 보편성

 

모바일 특화 피싱 추세는 2022년에도 계속되었습니다. Zimperium 보고서에 따르면 2021년 피싱 사이트의 75%가 특정 대상 모바일 기기를 검사하고 모바일 형식에 맞는 콘텐츠를 제공했으며, 2022년에는 80%로 증가했습니다. 이러한 모바일 중심 공격으로의 이동은 현대적인 웹 개발 도구에 의해 가능해졌습니다. 이러한 프레임워크를 통해 개발자는 모든 플랫폼에서 효과적으로 랜더링할 수 있는 단일 웹 사이트를 생성할 수 있습니다.

 

한편, 공격자가 여러 플랫폼이 아닌 모바일 기기만 노리기도 합니다. 모바일 기기가 아니면 작동하지 않는 악성 프로그램의 경우가 발견되고 있습니다. Zimperium의 연구원들은 공격자들이 전통적인 엔드포인트가 보안 환경을 구축할 가능성이 더 높다고 가정합니다. 모바일 기기의 폼 팩터와 인터페이스는 사용자가 피싱 사이트의 징후를 발견하는 것을 더 어렵게 합니다.

 

 

5) 업종별 피싱 현황

 

Zimperium 데이터에 따르면 가장 많이 표적이 되는 단일 시장은 금융권 입니다. 대부분의 피싱 사기꾼들은 돈을 원하기 때문에 어쩌면 당연한 결과인지도 모릅니다. 성공적인 공격을 통해 피싱 사기꾼은 즉각적인 보상을 얻을 수 있는 전략을 신속하게 추구할 수 있습니다. Zimperium이 수집한 데이터는 APWG의 데이터와 일치하며 금융 서비스가 가장 큰 표적이 된 부문으로 기록된 모든 피싱 공격의 23%를 차지한다고 보고했습니다. 그 다음은 우편 서비스와 익스프레스 배송의 사용이며 생산, 소셜 네트워크, 통신이 그 뒤를 따릅니다.

 

 

 

 

---

3.2. 모바일 멀웨어: 진화하는 공격, 증가하는 위험

 

1) 주요 시사점

 

- 2021년 대비 2022년 탐지된 멀웨어 샘플 수는 51% 증가했습니다

- Zimperium 조사 결과 Android 기기 50대 중 1대에서 멀웨어를 탐지했습니다.

 

 

2) 멀웨어 위협 확산

 

멀웨어는 지역이나 업종에 상관없이 조직에 중대한 위험을 초래합니다. 강력하고 동적인 위협 탐지 능력이 없으면 손상된 모바일 기기는 민감한 데이터나 자산을 노출시킬 수 있습니다. 장치가 기업 소유든 개인 소유든 대부분의 모바일 기기는 개인과 기업의 데이터와 앱 모두를 포함합니다. 직원들이 업무 목적의 전화를 자주 사용하기 때문에 손상된 장치의 위험은 장치 자체를 넘어 확장됩니다. 오늘날의 멀웨어는 탐지 기능을 회피하며 기업 자산뿐만 아니라 기기의 제어 장치 및 개인 데이터 등 다양한 자산에 액세스할 수 있도록 특별히 설계되어 있습니다.

 

 

3) 발견된 멀웨어 샘플의 양

 

2022년 동안 매월 평균 77,000개의 고유 멀웨어 샘플이 발견되었습니다. 2021년 611,000개에서 올해는 925,000개의 고유 멀웨어 샘플이 탐지되어 약 51% 증가했습니다. 이러한 샘플은 알려진 멀웨어 제품군의 변형인 경우가 많습니다.탐지된 모바일 멀웨어의 증가를 현상을 고려할 때, 전년보다 더 많은 기기가 영향을 받은 것은 놀랄 일이 아닙니다. 2021년 Zimperium은 Android 기기 50대 중 1대에서 멀웨어를 탐지했습니다. 그 수는 2022년에 20대 중 1대로 크게 증가했습니다.

2022년 Zimperium은 업계에서 아직 식별되지 않은 매주 2,000개의 악성 프로그램 샘플로부터 고객을 보호했습니다. 머신러닝 기반 솔루션은 여러 가지 이유로 인해 멀웨어에 대한 최상의 포괄적인 보호 기능을 제공하기 위해 필요합니다.

첫째, 생성되는 새로운 멀웨어 변종의 수가 빠르게 증가하고 있으며, 멀웨어 탐지에 대한 기존의 시그니처 기반 접근 방식의 효과가 떨어지고 있습니다. 머신러닝 알고리즘은 알려진 시그니처에 의존하지 않고 멀웨어를 나타내는 패턴과 행동을 식별하는 방법을 학습하여 업계에서 아직 식별되지 않은 새롭고 이전에 볼 수 없는 위협을 탐지할 수 있습니다.

둘째, 머신러닝 모델은 대규모 데이터 세트를 통해 학습하여 시간이 지남에 따라 정확도를 지속적으로 향상시킬 수 있습니다. 새로운 형태의 멀웨어에 적응하고 공격 패턴의 미묘한 변화를 식별하는 방법을 배우기 때문에 진화하는 위협에 대비하고 사용자를 더 효과적으로 보호할 수 있습니다.

 

 

4) 멀웨어 유형 및 높은 인지도를 가진 멀웨어

 

퍼블릭 애플리케이션 리포지토리에서 추적한 멀웨어 유형을 분석한 것으로, 탐지된 모든 모바일 멀웨어 샘플의 45% 이상이 트로이 목마임을 보여줍니다. 다음으로 높은 범주는 리스크웨어와 일반 멀웨어였습니다.

 

 

 

 

2022년 이슈가 된 멀웨어 캠페인에는 Dark Herring과 TeaBot, RatMilad가 있습니다. Dark Herring은 전 세계 1억 5백만 명 이상의 피해자를 목표로 했으며 직접 통신사 청구를 이용하여 의심하지 않는 사용자로부터 돈을 갈취하였으며 수 억달러의 손실을 유발했습니다. TeaBot은 은행 트로이 목마로써 피해자의 자격 증명 및 SMS 메시지를 훔치도록 설계되어 400개 이상의 앱에서 탐지되었습니다. Rat Milad는 전화번호 스푸핑 앱 내에 숨겨져 있었으며 사용자가 소셜미디어 계정을 확인할 수 있도록 도와주는 앱으로 위장하였습니다. 사용자가 이 앱을 설치하면 공격자는 연락처, 전화 통화 로그, 파일 등을 볼 수 있으며 모바일 기기 제어권을 얻을 수 있습니다.

 

 

5) 멀웨어 탐지 회피를 돕기위해 채택된 개발 기술

 

멀웨어 개발자들은 자신들의 코드를 숨기기 위해 끊임없이 노력하고 있습니다.

- 멀티 플랫폼 개발 프레임워크: 멀웨어 개발자는 Flutter, Cordova, Unity, Xamarin과 같은 멀티 플랫폼 개발 프레임워크로 마이그레이션 했습니다. 예를 들어, Flutter를 통해 개발된 대출 멀웨어 캠페인은 프레임워크가 편리하며 개발자가 독립적인 코드를 만들 수 있습니다. 또한 코드 캡슐화 형태를 제공하여 기존의 멀웨어 탐지 솔루션이 분석하기 어려운 코드를 제공할 수 있습니다.

- 멀웨어 유포자: 공격자는 멀웨어 유포자를 점점 더 많이 사용하고 있습니다. 이 접근법을 통해 초기에는 최소한의 코드만 전달할 수 있으나 사실상 모든 정적 코드 분석 기법과 심지어 일부 동적 분석 기법에 의한 탐지를 피할 수 있습니다.

 

---

3.3. Zimperium의 알려지지 않은 위협 감지: 머신 러닝의 이점

 

알려진 위협에 대한 방어를 구축하는 것도 필요하지만 지속적으로 나타나는 알려지지 않은 위협을 탐지하고 보호할 수 있는 메커니즘을 갖추는 것이 훨씬 더 중요합니다. 이 핵심적인 목표를 달성하려면 머신러닝이 필요합니다. 알려진 위협에 대한 정보를 얻기 위해서 퍼블릭 애플리케이션 리포지토리는 귀중한 서비스중에 하나입니다. 퍼블릭 애플리케이션 리포지토리는 여러가지의 결과를 수집하여 알려진 지식을 합리적으로 반영하여 특점 시점에서의 보안팀이 적절하게 사용할 수 있습니다. Zimperium MTD는 동적 온 디바이스 탐지 엔진을 탑재하여 고급 탐지 기능을 통해 이전에 알려진 위협과 알려지지 않은 zero-day 공격을 탐지할 수 있습니다.

Zimperium zLabs 팀은 2022년 4분기 동안 Zimperium MTD가 탐지한 모든 고유한 악성 샘플을 분석했습니다. 해당 샘플 중 어떠한 샘플이 이전에 탐지되지 않았는지, 새로 탐지된 샘플이 발견 당시 퍼블릭 애플리케이션 리포지토리에 있었는지 여부를 조사했습니다.

- 2022년 4분기 동안 254,000개의 악성 프로그램 위협을 탐지했습니다.
- 검출된 샘플 중 7,500개는 이전에 Zimperium에 의해 검출되지 않았습니다.
- 새로 확인된 샘플 중 63%인 4,700개가 퍼블릭 애플리케이션 리포지토리에 없었습니다.
- 이는 Zimperium에서 탐지된 새로운 악성코드 샘플의 63%가 탐지 당시 완전히 알려지지 않았음을 의미합니다.
- 많은 툴이 알려진 위협에 대해 안전한 보호 기능을 제공합니다. 그러나 알려지지 않은 위협에 대해 방어할 수 있는 장비를 갖추지 못한 툴도 많습니다.

머신러닝 알고리즘은 방대한 양의 데이터를 처리 및 분석하고 악성 활동과 관련된 패턴과 행동을 식별하는 방법을 학습합니다. 머신러닝 모델은 높은 정확도를 제공하고,  많은 양의 데이터를 처리할 수 있도록 확장하며, 새로운 유형의 위협이 발생함에 따라 빠르게 적응하도록 학습할 수 있습니다. 이를 통해 머신러닝 기반 시스템은 서명 기반 시스템이 놓칠 수 있는 알려지지 않은 악성 프로그램 및 zero-day 위협을 탐지할 수 있는 결정적인 이점을 제공합니다.

 

---

3.4. 모바일 스파이웨어: 양과 정교함의 증가

 

1) 주요 시사점

 

- 2022년 Zimperium은 3,200개의 고유한 스파이웨어 샘플을 탐지했습니다.

- 스파이웨어 공격은 북미 지역에서 가장 많이 탐지되었습니다.

- 스파이웨어 키트, 서비스, 소스코드는 다크웹과 GitHub 와 같은 주류 리포지토리 또는 Reddit과 같은 온라인 커뮤니티에서 일반적으로 거래 및 공유됩니다.

 

 

2) 스파이웨어 소개

 

스파이웨어는 인터넷 사용, 키 누름, 신용카드 번호와 같은 중요한 정보나 로그인 자격 증명을 포함하여 사용자의 활동을 몰래 모니터링할 수 있는 악성 프로그램입니다. 이 응용 프로그램은 사용자가 모르게 모바일 기기에 설치되는 경우가 많으며, 모바일 피싱이나 소프트웨어 취약성을 이용하여 설치되기도 합니다.

모바일 기기는 몇 가지 중요한 이유로 스파이웨어에 특히 취약합니다. 첫째, 항상 인터넷에 연결되어 있습니다. 둘째, 합법적인 앱으로 위장하여 사용자로 하여금 악성 앱을 설치할 수 있는 많은 기회를 제공합니다. 셋째, 모바일 기기는 전통적인 엔드포인트에 비해 악성 프로그램 및 장치 악용을 탐지할 수 있는 효과적인 솔루션을 보유할 가능성이 적습니다.

또한 스파이웨어가 데스크톱 컴퓨터에 설치되어 있으면 컴퓨터가 사용되는 동안에만 스파이웨어가 작동합니다. 그러나 스파이웨어가 모바일 기기에 설치되어 있으면 강력한 24시간 동안 추적기로 활동할 수 있습니다. 모바일 기기의 보편성과 스파이웨어에 대한 취약성으로 인해 보호하기 위한 조치를 반드시 취해야 합니다.

 

 

3) 다양한 스파이웨어 제공자

 

스파이웨어는 다양한 형태로 나타날 수 있고 다양한 레이블을 가질 수 있습니다. "stalkerware", "family tracking", "employeetracking"과 같이 웹 검색을 통해 많은 결과를 산출하고 스파이 행위를 위해 설계된 소프트웨어에 대한 링크를 제공할 것입니다. 전통적인 검색 엔진으로는 접근할 수 없는 다크웹에서는 해킹 소프트웨어, 툴킷, 스파이웨어 키트, 스파이웨어 서비스, 스파이웨어 소스코드 등이 공통적으로 거래되고 공유되는데, 다크웹은 종종 사이버 범죄자들이 악성코드와 해킹 도구를 포함한 불법적인 상품과 서비스를 사고파는 곳으로 이용됩니다.

또한 때때로 GitHub와 같은 온라인 저장소 또는 Raddit과 같은 온라인 커뮤니티를 통해 얻을 수 있습니다. 이러한 플랫폼은 물론 악성 소프트웨어의 배포를 금지하고 있으나 일부 사용자는 여전히 이러한 콘텐츠를 공유하는 방법을 찾아낼 수 있습니다. 이러한 대중적인 플랫폼에서 스파이웨어 도구가 확산되는 것은 사이버 범죄자가 될 사람들의 진입 장벽을 낮춥니다. 기술적 지식이 별로 없는 개인이라도 정교한 사이버 공격을 시작할 수 있습니다.

 

 

4) 스파이웨어 특징

 

① 숨김 또는 위장: 작업을 수행하고 설치 상태를 유지하기 위해서는 스파이웨어가 피해자에게 탐지되지 않아야 합니다. 일반적으로 스파이웨어가 더 깊게 숨겨져 있을수록 장치에 오래 남아 있을 수 있습니다. 스파이웨어는 피해자 몰래 설치되고 피해를 입기 전까지 스파이웨어의 존재를 인식하지 못합니다.

② 수집: 스파이웨어는 개인 식별 정보, 사진, 통신, 로그인 자격 증명 등을 수집하고 오용하거나 손상시킵니다.

③ 감시: 악의적인 행위자는 종종 모바일 기기의 자산이나 기능에 액세스하여 사진을 찍고, 메시지를 보고, 대화를 녹음하고, 자격 증명에 액세스하고, 특정 GPS 좌표를 모니터링할 수 있습니다.

④ 전송 또는 제어: 민감한 자산 및 서비스에 대한 제어가 권한이 없는 악의적인 행위자에게 전달됩니다. 이는 원격 제어 등을 통해 발생할 수 있습니다.

 

 

5) 스파이웨어 제품군

 

1년 동안 Zimperium은 3,200개의 고유 스파이웨어 샘플을 탐지했습니다. 

TrackViewPro는 많은 장치에서 발견되는 추적 응용 프로그램입니다. 이 응용 프로그램은 타사 앱 스토어에서 사용할 수 있으며 기존 스파이웨어의 기능을 공유합니다. FacebookStealer는 일반적으로 사용되는 또 다른 스파이웨어이며 2022년 12월 Zimperium에 의해 발견되어 악의적인 행위자가 목표물의 페이스북 자격 증명을 갈취할 수 있도록 합니다. "Schoolyard Bully Trojan"으로도 알려진 이 악성 앱은 합법적인 교육 앱으로 위장되어 있지만 페이스북 자격 증명을 갈취할 수 있는 악성 코드가 포함되어 있습니다.

 

 

6) 스파이웨어 개발자

 

스파이웨어 판매 사업을 영위하는 조직입니다.

- DSIRF: 2022년 7월, 마이크로소프트의 위협 인텔리전스 센터는 오스트리아에 기반을 둔 스파이웨어 및 해킹 고용 회사에 대한 보고서를 발표했습니다
- NSO 그룹: 2021년 권위 있는 정부가 50개국 이상의 언론인, 활동가, 법조인 50,000명 이상을 대상으로 스파이웨어 페가수스를 사용했음이 밝혀지면서 광범위한 악명을 얻었습니다.
- QuaDream: 2016년 전 이스라엘 군 관계자와 두 명의 전 NSO 직원에 의해 설립되었습니다. 지난 6년 동안 이 조직은 이메일, 사진, 텍스트, 연락처에 대한 액세스를 제공하는 강력한 스파이웨어를 제공했습니다.

 

---

3.5. 모바일 랜섬웨어는 이제 적법한 위협

 

1) 주요 시사점

 

- 랜섬웨어 수익은 2022년 40% 감소했습니다.

- 그러나 2022년 모바일 랜섬웨어는 재부팅으로 간단히 해제할 수 있는 단순한 오버레이를 넘어 파일을 암호화하고 장치를 잠그는 중대한 위협으로 변화했습니다.

- Zimperium은 2022년 동안 90,000개 이상의 랜섬웨어 공격으로부터 17,000개의 고유 랜섬웨어 샘플을 탐지했습니다.

 

 

2) 랜섬웨어의 모바일화

 

랜섬웨어 수익은 2022년 내내 4억 5,700만 달러로 감소했는데, 이는 지난 2년간 기록한 7억 6,500만 달러에서 약 40% 감소한 것입니다. FBI는 14개의 중요한 인프라 부문에서 최소 한 명의 구성원이 랜섬웨어에 희생되었다고 보고했습니다. 일반적인 시나리오에서 데스크톱 랜섬웨어는 호스트 시스템의 파일을 암호화하여 피해자가 암호 해독 키를 얻기 위해 지불(암호화폐)하도록 유도합니다. 동시에 데스크톱 랜섬웨어는 OS 취약성을 사용하여 호스트를 감염시키고 다른 장치로 전파합니다.

그러나 랜섬웨어는 모바일 기기에서 다르게 기능합니다. Android와 iOS 기기가 샌드박스와 권한 모델을 채택하고 있기 때문인데, 외부 침입자나 악성코드로부터 앱을 격리하고 차단하여 보안을 향상시키고 악성 앱이나 사용자가 기기에 가할 수 있는 피해를 제한합니다. 각 모바일 앱은 데이터와 시스템 리소스에 대한 접근을 제한하는 고유한 샌드박스 환경에서 실행됩니다. 이러한 이유로 악의적인 개발자는 효과적으로 장치를 통제하거나 사용자를 데이터로부터 차단할 수 있는 다양한 기술과 방법을 사용하여 모바일 랜섬웨어를 제작합니다.

- 락커 랜섬웨어: 잠금 화면을 생성하여 피해자가 장치와 상호 작용하는 것을 차단합니다.
- 암호화 랜섬웨어: 파일, 일반적으로 사진 및 문서 파일을 암호화하여 장치를 손상시킵니다.
- 유출자 락커: 모바일 기기를 손상시키기 위해 다양한 사회공학을 사용하는 특이한 유형의 랜섬웨어입니다.

---

3.6. 모바일 취약점의 악용

 

1) Zero-Day 취약점이 활용되는 iOS 

 

 

Apple의 WebKit은 오랫동안 취약점에 시달려 왔습니다. 개발 과정에서의 결함이 아니라, 서명되지 않은 코드를 실행할 수 있는 브라우저의 독특한 기능과 인터넷을 안전하게 렌더링하는 데에 상대적인 어려움이 있기 때문입니다. Webkit은 이전에는 Android의 Chorome 브라우저에서도 사용되어 공격의 창으로 이용되었지만 이후 구글은 Webkit을 자체 Blink 프로젝트에 포함시켰습니다.

2022년 2월, iOS와 MacOS 모두에 영향을 미치는 취약성인 CVE-2022-22620은 악용되고 있는 것이 발견되어 패치되었습니다. Project Zero의 Maddie Stone은 이 취약성에 대한 근본적인 원인 분석을 발표하고 "좀비" 취약성이라고 이름을 붙였습니다. 원래 2013년에 버그가 보고되어 패치되었지만, 이후 2016년 리팩토링하는 동안 코드베이스에 다시 도입되었습니다. 이와 같은 좀비 취약성은 때때로 패치된 후 코드가 공개되면 재도입된 버그에서 작동하도록 리팩토링될 수 있습니다.

2022년 1월 iOS/iPadOS 15.3 및 macOS 12.2를 출시했는데, 기능 향상 및 버그 수정 중에서 IOMobileFrameBuffer의 중요한 메모리 손상 취약성을 패치했습니다. IOMobileFrameBuffer는 화면 버퍼를 관리하는 커널 확장 프로그램으로 2021년 여러 문제를 포함하여 과거에 보안 문제가 발생했습니다.

Android 생태계의 파편화와 하드웨어 또는 코드 구현의 취약점으로 인해 공격은 특정 플랫폼을 대상으로 하는 것이 일반적입니다. 2022년 1월 삼성은 18개의 추가 보안 취약점과 함께 장시간 어려움을 겪는 엑시노스 칩셋의 버전에 대한 NPU 드라이버의 취약성인 CVE-2022-22265용 패치를 출시했습니다. 마찬가지로 2022년 3월 구글은 말리 GPU 드라이버의 메모리 쓰기 문제인 CVE-2022-22706을 수정하는 픽셀 장치용 패치를 제공했습니다. 이 취약성은 다중 부분 공격 체인에서 적극적으로 이용되는 것으로 나타났습니다.

 

 

2) Zero-Click 공격

 

zero-click 공격은 사용자 입력이 필요 없는 사이버 공격의 한 종류로, 악성 코드가 장치에 설치되는 즉시 자동으로 진행됩니다. zero-click을 사용하면 공격자가 사회 공학적 기법이나 사용자 참여에 의존하지 않고 장치에 침투할 수 있어 무단으로 접근할 수 있습니다. 이러한 이유 등으로 인해 zero-click 공격은 가장 위험한 공격 기법 중 하나로 꼽힙니다.

모바일 기기에 대한 zero-click 공격은 종종 메시징 또는 메일 앱의 취약성을 대상으로 합니다. 공격자는 대상 장치에 조작된 메시지를 전송하여 이를 활용합니다. 공격이 진행되면 공격자는 스파이웨어, 트로이 목마, 랜섬웨어 등 악성 프로그램을 이용하여 장치의 보안을 손상시킬 수 있습니다.

Citizen Lab에 따르면 2022년 위험한 세 가지 zero-click 악용 체인이 멕시코의 인권 옹호자들의 아이폰이 페가수스 스파이웨어를 배포하는 데 사용되었다고 보고했습니다.

- LATENTIMAGE: iOS 15를 대상으로 하는  zero-click 악용 체인으로 "Find My" 기능 포함
- FINDMYPWN:  zero-click 공격 체인 대상 iOS 15. "Find My" 기능의 취약성을 공격
- PWNYOURHOME: iOS 15 및 16을 대상으로 하는 zero-click릭 공격 체인. Apple HomeKit Daemon의 취약성을 공격

 

---

3.8. 2022년 모바일 플랫폼과 생태계 위험

 

1) 모바일 생태계 위험

 

Android 취약성 증가, 전체적 및 심각한 취약점 증가
취약점 추적에 따르면 Android 운영체제는 2022년 발견된 취약점 수가 증가하여 사상 최고치인 897개의 CVE가 추적되었습니다(2021년 571개). 가장 일반적인 취약점은 코드 실행, 시스템 우회, 코드 또는 메모리의 오버플로우였습니다.

iOS 취약성 감소, 전체적 및 심각한 취약점 감소
취약점 추적에 따르면 iOS는 2022년 내내 242개의 CVE가 할당되었으며, 이는 2021년에 발견되어 보고된 380개보다 감소한 것입니다. 가장 일반적인 취약점은 코드 실행이었고, 메모리 손상 및 메모리 또는 코드의 오버플로우가 그 뒤를 이었습니다.

 

 

2) 루팅/탈옥

앱스토어 전용 앱 및 필수 코드 서명과 같은 제한이 있는 iOS가 등장한 이후로, 앱스토어 제한을 우회하기 위해 탈옥이 사용되었습니다. 사용자는 일반적으로 타사 앱을 설치하고 사용자 인터페이스를 조정하기 위해 이 작업을 수행합니다. 애플은 탈옥을 승인하지 않으며, 새로운 릴리즈 때 탈옥에 사용된 패치 취약점 외에도 일련의 탈옥 방지 패치를 출시했습니다. 이 중 가장 최근의 것은 2022년 9월 iOS 16 출시와 함께 Cryptex1을 도입했습니다. Cryptex1은 애플이 신속하게 보안 대응을 수행하며 일반적인 패치 주기에서 벗어나도록 설계되었지만 다운그레이드를 거의 불가능하게 만듭니다. 탈옥은 일반적으로 오래된 버전의 iOS를 이용하기 때문에 오래된 iOS 버전으로 다운그레이드하기 위해 블록을 추가하면 탈옥을 위한 추가적인 복잡성이 발생합니다.

 

다수의 Android 플랫폼이 부트로더 잠금 해제를 지원하고, 사용자가 루트 액세스를 포함하는 사용자 정의 펌웨어로 Android 장치를 플래시할 수 있게 허용하여 루팅/탈옥 커뮤니티에서는 Android에 대해 작동하는 익스플로잇을 찾는 데 중점을 두지 않습니다. Android 플랫폼 취약성은 여전히 보안 연구 및 버그 바운티 커뮤니티에서 관심이 있습니다. 루팅/탈옥 장치는 일반적으로 운영 체제의 오래된 버전을 실행하고 보안 기능이 꺼져 있기 때문에 기업 네트워크에서 탈옥 장치를 허용하면 안됩니다. 또한 모바일 뱅킹과 같이 보안 요구 사항이 높은 앱에서는 장치의 루팅/탈옥 여부를 감지하고 루팅/탈옥이 감지되면 돈을 송금하는 것과 같은 위험한 기능이 실행을 거부해야 합니다.

 

 

3) 장치 변조

 

Android 및 iOS 플랫폼 취약성은 공격자가 악의적인 목적으로 장치에서 지속성을 얻기 위해 사용할 수도 있습니다. 장치 사용자가 자신의 장치 탈옥하는 것과 모바일 장치를 손상시키기 위해 동일한 악용 체인을 사용하는 것 사이에는 중요한 차이가 있습니다. 두 가지 모두 기업의 관심사이지만 후자는 확실히 더 사악하며  탐지되지 않습니다.

 

Zimperium은 공격자와 사용자가 이들을 루팅/탈옥할 때 손상된 모든 장치를 추적합니다. 루팅/탈옥할 때 또는 장치의 악의적인 entity에 의한 지속성 공격 중에 장치에 손상의 주요 지표가 생성됩니다. Zimperium 탐지의 일부에는 코드 실행 보호 및 OS 보안 기능 해제가 포함됩니다. 사용자가 장치를 루팅/탈옥할 때 손상의 지표가 트리거되지만, 악의적인 entity에 의한 지속성 공격에는 일반적인 루팅/탈옥 도구 및 프레임워크가 포함되지 않습니다. 이러한 앱 및 라이브러리가 장치에서 탐지되면 장치도 루팅 또는 탈옥으로 플래그됩니다.

 

2022년 동안, 침입으로 탐지된 Android 기기의 53%가 사용자에 의해 루팅된 것 뿐만 아니라 공격자의 손에 있었습니다. 침입당한 iOS 기기 중 18%가 공격자에 의해 악용되었습니다. 이는 부분적으로 탈옥 대 루팅의 상대적인 인기에 기인합니다. 예를 들어, Android에서 사용자가 기기를 루팅하지 않고 앱을 사이드로딩하는 것은 사소한 일이지만, iOS에서는 탈옥이 기기에서 앱을 사이드로딩할 수 있는 가장 일반적인 방법입니다. 전체적으로, 모든 손상된 기기의 23%가 탈옥/루팅뿐만 아니라 악용된 것으로 나타났습니다.

 

---

3.9. 모바일 위협 체인: 다단계 공격 분석

 

1) 모바일 위협 체인

 

수년 동안 모바일 기기와 사용자에 대한 성공적인 공격 사례는 많습니다. 대부분의 경우 공격자가 최종 목표를 달성하기 전에 여러 단계를 실행해야 했습니다. 사이버 보안에서 위협 체인이란 공격자가 특정 네트워크 또는 시스템을 손상시키기 위해 활용하는 여러 개의 연속적인 위협을 설명하기 위해 사용됩니다. 공격이 성공하기 위해서는 각 단계가 필요합니다.

 

예를 들어, 키 체인에서 데이터를 훔치려는 피싱 공격, 일명 스미싱으로 불리는 SMS 기반 피싱 텍스트의 경우,

 

- 피싱 링크가 SMS를 통해 전달됩니다.

- 피해자가 스미싱 링크를 클릭합니다.

- 피해자가 속아서 악성 앱을 설치합니다.

- 이 앱은 알려진 취약성을 이용하여 장치를 손상시킵니다.

 

이러한 단계가 완료된 후에야 공격자는 키 체인 데이터를 훔치는 목표를 달성할 수 있습니다.

 

효과적이고 총체적인 모바일 기기 보안을 구축하기 위해서는 위협 체인을 이해하는 것이 중요합니다. 적절한 가시성과 기능을 통해 위협 체인의 각 단계가 진행되기 전에 공격을 식별하고 중단할 수 있어야 합니다.

 

 

2) 네트워크 공격

 

공격자는 목적을 달성하기 위해 다양한 네트워크 기반 공격을 사용할 수 있습니다. 예를 들어, 공공 장소에 와이파이 네트워크를 설치하고 피해자가 연결하기를 기다릴 수 있습니다. 또한 목표물에 대한 정보를 수집하기 위해 정찰 활동을 수행할 수도 있습니다. 네트워크 보안의 맥락에서 정찰은 공격자가 대상 네트워크 또는 시스템에 대한 정보를 수집하는 공격의 초기 단계를 말합니다. 이 정보에는 IP 주소, 네트워크 토폴로지, 운영 체제, 네트워크에서 실행되는 서비스가 포함될 수 있습니다.

 

정찰은 공격의 이후 단계에서 악용될 수 있는 취약성 및 취약성을 식별하는 데 도움이 되므로 공격자에게 중요한 단계입니다. 공격자는 패킷 스니핑 또는 포트 검색 기술을 사용하여 암호화되지 않은 전송 패킷를 수집할 수 있으며, 이는 네트워크의 구성 및 잠재적 취약성에 대한 귀중한 정보를 노출할 수 있습니다.

 

일단 정찰이 수행되면 중간자 공격과 같은 위협 체인의 다음 부분이 이어질 수 있습니다. MitM 공격은 공격자가 서로 직접 통신하고 있다고 믿는 두 당사자 사이의 통신을 가로채는 경우에 발생하는 사이버 보안 위협입니다. MitM 공격 중에 공격자는 통신을 도청하거나 메시지를 조작하거나 관련된 당사자 중 한 명을 사칭할 수 있습니다.

 

MitM 공격은 공격자가 DNS 시스템을 조작하여 사용자를 가짜 웹 사이트로 리디렉션하는 로그 액세스 포인트 또는 DNS 스푸핑을 포함한 여러 형태로 나타날 수 있습니다. 다른 형태의 MitM 공격에는 피싱 웹 사이트로 트래픽 리디렉션, 암호화 기능과 같은 악성 요소 주입, 공격자가 암호화 사용을 비활성화하는 TLS 다운그레이드, 공격자가 두 당사자 간의 세션을 제어하거나 다른 브라우저에서 세션을 복제하는 세션 하이재킹, 보안 HTTPS 연결을 암호화되지 않은 HTTP 연결로 다운그레이드하는 SSL 스트리핑 등이 있습니다.

 

 

 

 

 

출처: Zimperium Global Mobile Threat Report 2023

2023 Global Mobile Threat Report - Zimperium