울지않는벌새 : Security, Movie & Society

스미싱 문자를 통해 탈옥하지 않은 아이폰(iPhone) 감염 주의 (2014.11.14)

벌새::Security

최근 FireEye 보안 업체에서 iOS 모바일 운영 체제를 사용하는 모바일 기기가 탈옥 여부와 상관없이 악성앱 설치가 가능한 "Masque Attack" 방식에 대한 정보를 공개하면서 차후 아이폰(iPhone) 사용자를 대상으로 한 스미싱(Smishing) 문자 공격이 가능하게 되었다는 소식입니다.(※ 물론 Apple에서 해당 보안 취약점에 대한 패치를 제공한다면 일단은 해결될 수 있는 보안 문제입니다.)

이번에 문제가 된 탈옥하지 않은 iOS 모바일 운영 체제가 악성앱에 감염될 수 있는 방법의 근원은 다음과 같습니다.

 

애플(Apple)에서는 앱 개발자를 위해 Apple App Store에 앱을 등록하지 않고 제작하는 앱을 테스트를 할 수 있도록 Provisioning Profile을 통해 등록된 기기에서 앱을 다운로드 및 설치할 수 있도록 Ad-Hoc 배포 방식을 허용하고 있습니다.

 

그런데 문제는 해당 배포 방식을 통해 제작된 정상적인 앱을 Apple App Store에 등록할 때 사용하는 Bundle Idenifier 값을 검증하지 않는 보안 문제로 인하여 타 배포지에서 동일한 값을 가진 앱에 대해 허용할 수 있다는 점입니다.

 

이를 악용하여 제한적으로 "Masque Attack"으로 불리우는 순정 iOS 모바일 운영 체제에서도 악성앱이 설치되도록 공격이 이루어지고 있으며, 위와 같은 정보를 기반으로 조만간 국내를 대상으로 한 모바일 뱅킹, 개인정보 유출 등의 목적을 가진 악성앱이 스미싱(Smishing) 문자를 통해 유포될 수 있습니다.

 

[영향을 받는 iOS 모바일 운영 체제 버전 정보]

 

□ iOS 7.1.1 / iOS 7.1.2

 

□ iOS 8.0 / iOS 8.1 / iOS 8.1.1 Beta

 

현재 iOS 모바일 운영 체제의 보안 취약점을 이용한 스미싱(Smishing) 문자가 존재한다는 국내 소식은 없지만 가상 시나리오를 통해 다음과 같은 형태로 공격이 이루어질 수 있음을 소개해 드리겠습니다.

안드로이드(Android) 스마트폰 사용자를 대상으로 한 스미싱(Smishing) 문자와 유사한 방식으로 아이폰(iPhone) 사용자가 URL 주소가 포함된 문자 메시지를 클릭한다고 가정해 보겠습니다.

출처 : FireEye Blog

문자 메시지에 포함된 URL 주소를 통해 연결된 웹 사이트에 접속할 경우 그림과 유사한 팝업창을 생성하여 사용자를 현혹할 수 있는 문구를 통해 특정앱 설치하도록 설치(Install) 버튼을 클릭하도록 유도할 수 있습니다.(※ 아이폰(iPhone)의 경우에는 문자 메시지를 통해 앱 설치를 요구하는 경우에는 100% 악성앱으로 판단하시고 절대로 설치 버튼을 클릭하지 마시기 바랍니다.)

 

만약 사용자가 설치(Install) 버튼을 클릭할 경우 아이폰(iPhone)에 이미 설치되어 있는 정상적인 앱(※ Apple App Store를 통해 다운로드한 앱) 중에서 특정앱을 악성앱으로 바꿔치기를 하며, 단지 필수적인 앱(※ Apple Safari)은 바꿔치기를 하지 못합니다.

출처 : FireEye Blog

감염된 아이폰(iPhone) 사용자가 악성앱으로 바꿔치기된 앱을 실행할 경우 "Untrusted App Developer(신뢰할 수 없는 앱 개발자)" 팝업창 생성을 통해 사용자가 실행하려는 앱의 개발자를 신뢰할지 묻는 경고창이 생성됩니다.

 

해당 경고창이 생성되는 경우에는 사용자가 실행하려는 앱이 감염으로 인해 악성앱으로 변경되었음을 의미하므로 절대로 "Trust(신뢰)"를 클릭하지 말고 "Don't Trust(신뢰 안 함)"을 클릭하여 앱 실행을 종료하시기 바랍니다.

 

그 후에는 아이폰(iPhone)에 설치된 악성앱("신뢰할 수 없는 앱 개발자" 팝업창이 생성된 앱)을 길게 클릭하여 삭제 버튼이 생성되면 제거를 하시기 바랍니다.

 

만약 위와 같은 "Masque Attack" 방식으로 감염된 아이폰(iPhone)의 경우에는 기존에 설치된 정상적인 앱을 악성앱으로 교체하는 과정에서 해당앱이 사용하는 데이터 파일은 유지하여 정보를 탈취할 수 있으며, 만약 이메일 앱(※ Gmail)이 악성앱으로 변경된 경우에는 캐싱된 메일, 로그인 토큰 등의 정보에 접근할 수 있습니다.

 

특히 국내의 경우 정상적인 금융앱을 감염시켜 금융 정보 탈취를 통한 금전적 피해를 유발할 가능성이 높습니다.

 

위와 같은 탈옥 여부와 상관없이 모든 iOS 모바일 운영 체제를 사용하는 아이폰(iPhone)은 "Masque Attack" 방식의 공격 대상이 될 수 있으므로 메일 또는 스미싱(Smishing) 문자에 포함된 URL 주소를 클릭하여 의심스러운 웹 사이트에서 앱 설치를 유도할 수 있다는 점을 명심하시고 악성앱에 감염되는 일이 없도록 매우 주의하시기 바랍니다.