애플 앱스토어에 등록된 iOS앱 수천개가 외부 광고를 표시하는 연동프로그램(SDK)을 통해 악성코드에 감염될 수 있는 것으로 확인됐다.
파이어아이는 애플 앱스토어에서 공격자가 정보를 탈취하거나 아이폰을 마음대로 조작할 수 있게 하는 백도어로 악용할 수 있는 악성 광고 라이브러리가 포함된 2천846개 iOS앱을 발견해 분석에 나섰다고 17일 밝혔다.
악성 광고 라이브러리는 중국 광고 회사인 '애드세이즈(adsage)' 산하 모바일 광고 회사인 '모비세이즈(mobisage)'가 제공하는 소프트웨어개발키트(SDK)에서 발견됐다. 이 SDK는 일반적으로 iOS 개발자들이 앱에서 광고를 게재하기 위해 활용한다. 파이어아이는 모비세이즈 SDK 5.3.3버전~6.4.4버전에 걸쳐 총 17개 버전에서 악성 광고 라이브러리가 포함된 것을 확인했다고 밝혔다. 단, 최신 버전인 7.0.5에서는 발견되지 않았다.
파이어아이는 애드세이즈가 직접 악성 광고 라이브러리를 자사의 SDK에 추가했는지 혹은 또 다른 서드파티에 의한 소행인지 여부는 아직까지 밝혀지지 않았다고 전했다.
이러한 악성 광고 라이브러리에 노출된 iOS앱들은 백도어를 제어하는 자바 스크립트 코드를 받기 위한 원격 서버로 900번 이상 접속시도한 것으로 나타났다.
아직까지 원격 서버로부터 음성 녹음 혹은 민감 정보를 유출하려는 악성 명령은 전달되지 않았지만, 감염된 앱들이 계속해서 새로운 자바스크립트 코드를 받기 위한 접속을 시도하고 있어 결국 백도어 기능이 활성화 될 가능성을 배제할 수 없다는 것이 회사측 설명이다.
악성 라이브러리를 통해 구동되는 백도어는 원격 서버에서 자바 스크립트 코드가 로드되면 음성 및 스크린샷 캡쳐, 기기 위치 정보 모니터링 및 업로드, 앱 데이터 컨테이너 내 파일 읽기/삭제/생성/수정, 앱의 키체인(Keychain) 읽기/쓰기/리셋, 암호화된 데이터를 원격 서버에 게시, 기기에 설치된 다른 앱 식별 및 실행을 위한 URL 실행, 사용자로 하여금 설치 버튼을 누르게 유도하여 비공식 스토어에서 앱 사이드 로드 등 기능을 수행하게 된다.
관련기사
- iOS9.1 업데이트, 탈옥 등 49개 취약점 대응2015.11.17
- "아이폰6S에 의문의 셧다운 버그 발생"2015.11.17
- iOS9업데이트, 멈춤 현상 등 버그 수정2015.11.17
- iOS9, 잠금화면 뚫리는 보안결함 있다2015.11.17
파이어아이 코리아 전수홍 지사장은 "감염된 앱의 수가 대규모이고, 이들이 계속해서 백도어 생성을 위한 서버 접속을 시도하면서 많은 iOS기기들이 백도어를 통한 해킹 위협에 처해있다"며 "이러한 피해를 막기 위해 감염된 앱 리스트와 기술적인 정보를 애플에 공유한 상태"라고 밝혔다.
보다 자세한 정보는 파이어아이 공식 블로그에서 확인할 수 있다.
