울지않는벌새 : Security, Movie & Society

iOS 개발자를 표적으로 한 XcodeGhost 악성코드 소식 (2015.9.22)

벌새::Security

최근 Apple 업체에서 제공하는 iPhone, iPad, Mac OS X, Apple Watch 기기에서 사용할 수 있는 Xcode 앱(App) 개발 도구가 비공식적 경로로 배포되는 과정에서 변조되어 정상적인 애플리케이션을 제작하는 과정에서 악의적인 코드를 추가하는 XcodeGhost 컴파일러(Compiler) 악성코드가 확인되었다는 소식입니다.

이로 인하여 중국(China) 앱 스토어(App Store)에 등록된 최소 350여종 이상의 악의적인 코드가 포함된 애플리케이션이 대량으로 유포되는 보안 사고가 발생하였습니다.

참고로 App Store를 통한 악성앱 유포 사례는 LBTM, InstaStock, FindAndCall, Jekyll, FakeTor와 함께 6번째라고 합니다.

 

이번 악성앱 유포의 근본적인 원인은 중국(China)의 경우 Apple 서버에서 제공하는 대용량의 Xcode 개발 도구(3.59GB) 다운로드 속도가 느린 문제로 인하여 Baidu 클라우드에 업로드된 비공식 채널을 통해 공유되는 과정에서 변조된 Xcode 개발 도구가 유포되었으며, 변조된 Xcode 개발 도구를 이용하여 유명 애플리케이션 업체들이 개발한 iOS 애플리케이션에 XcodeGhost 코드가 포함되었습니다.

 

개발된 애플리케이션은 App Store에 제출되어 Apple 업체의 코드 리뷰 검사를 문제없이 통과하여 다수의 사용자들이 설치(업데이트)하여 감염이 이루어졌습니다.

감염된 iOS 모바일 운영 체제 환경에서는 기기 정보(시간, 감염된 앱 이름, 앱 Bundle Identifier, 기기 이름 및 유형, 시스템 언어 및 국가, 기기 UUID, 네트워크 유형) 수집 후 DES 암호화된 상태로 Amazon 웹 서비스에 등록된 특정 C&C 서버(init.icloud-analysis.com)로 전송이 이루어졌습니다.

 

보안 업체에서는 추가적인 분석을 통해 iCloud 계정 이름 및 비밀번호를 입력하도록 가짜 경고창을 생성할 수 있는 위험(현재까지 발견된 악성앱에서는 구현할 수 없음), XcodeGhost의 잠재적 취약점으로 인해 MITM 방식을 통한 특정 URL 주소 연결 및 대화 상자 표시, 비밀번호 관리 도구를 통해 클립보드에 비밀번호를 복사할 경우 데이터 읽기/쓰기가 가능한  보안 문제가 발생할 수 있다고 경고하고 있습니다.

 

즉 악성 CoreServices 오브젝트 파일이 포함된 XcodeGhost 악성앱은 C&C 서버와의 통신을 통해 원격 제어로 인해 웹 브라우저 설정이 변경되어 악의적으로 제작된 Phishing 사이트로 연결되어 정보 유출 및 악성앱 설치로 연결될 수 있다는 것이 핵심입니다.

  • Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/
    Frameworks/CoreServices.framework/CoreService

iOS 애플리케이션 개발자 입장에서는 Xcode 개발 도구에 CoreService 라이브러리가 포함되어 있다면 XcodeGhost 악성코드에 감염된 Xcode 개발 도구를 사용하고 있다는 것을 의미합니다.

과거 델파이(Delphi) 개발 환경을 표적으로한 Induc 바이러스 유포 사고와 마찬가지로 소프트웨어 개발자를 표적으로 한 XcodeGhost 악성코드는 사용자를 속이지 않아도 감염을 시킬 수 있다는 점에서 위험성이 매우 높습니다.

Trend Micro 보안 업체에서 공개한 XcodeGhost 악성코드에 감염된 악성앱의 확산 지도를 보면 중국(China) 뿐 아니라 미국(USA), 한국 등에서도 위협이 되고 있음을 알 수 알 수 있습니다.

 

현재까지 보안 업체를 통해 공개된 XcodeGhost 악성코드에 감염된 애플리케이션에는 중국판 Angry Birds 2 (愤怒的小鸟2 2.1.1), WeChat 6.2.5, WinZip 등 350여종이라고 알려져 있으며, Apple 업체에서는 App Store에 등록된 악성앱을 모두 삭제하였다고만 밝히고 있으면 정확한 목록은 공개하지 않고 있습니다.

탈옥(Jailbreak)툴을 제작하는 Pangu Team에서는 XcodeGhost 악성코드에 감염된 애플리케이션이 3,418종으로 확인되었다고 주장하면서 Xcode病毒检测 (Xcode Virus Detection) 도구를 개발하여 배포를 하고 있으며, 중국 Qihoo 360 보안 업체에서는 344종의 악성앱 목록을 공개한 상태입니다.

 

만약 기기에 XcodeGhost 악성코드에 감염된 악성앱이 설치되었던 사용자는 반드시 iCloud 비밀번호를 변경하시길 권장합니다.

 

마지막으로 Apple 업체에서는 1차적으로 App Store에 등록된 악성앱을 삭제 처리한 후 관련 애플리케이션 업체에 수정된 제품을 재등록할 것을 공지하고 있으므로 iOS 기기 사용자는 App Store를 통해 제공되는 업데이트를 통해 최신 버전으로 업데이트 항목이 존재할 경우 반드시 패치하시기 바랍니다.