여러 브랜드의 Android 태블릿에 내장된 malware가 포함된 채 출하

Source: Android Authority

TL;DR

• 연구원들은 특정 태블릿에 판매 전에 사전 설치된 Keenadu라는 펌웨어 수준 안드로이드 백도어를 발견했습니다.
• 이 악성코드는 안드로이드 Zygote 프로세스에 주입되어 태블릿의 앱과 데이터에 대한 광범위한 제어 권한을 공격자에게 제공합니다.
• 문제는 비교적 알려지지 않은 태블릿 브랜드에 국한된 것으로 보이며, 영향을 받은 사용자는 즉시 업데이트를 설치해야 합니다.

Background

대부분의 안드로이드 악성코드는 의심스러운 앱이나 위험한 다운로드를 통해 퍼지며, 사용자는 감염 위험을 어느 정도 통제할 수 있습니다. 그러나 보안 연구원들은 사용자가 기기에 도달하기 전부터 펌웨어에 직접 내장된 백도어라는 보다 불안한 위협을 발견했습니다.

Technical Details

• Keenadu는 카스퍼스키 연구원들이 밝혀낸 펌웨어 수준 백도어입니다.
• 이 백도어는 안드로이드 기기에서 모든 앱을 실행하는 핵심 시스템 구성 요소인 Zygote 프로세스에 주입됩니다.
• 활성화되면 백도어는 다음을 수행할 수 있습니다:
  • 추가 모듈 다운로드
  • 브라우저 검색 결과 리다이렉션
  • 수익을 위한 앱 설치 추적
  • 광고 요소와 상호 작용

이 수준에서 동작하면 일반적인 악성 앱보다 훨씬 넓은 범위에 영향을 미칩니다.

Affected Devices

연구원들은 Alldocube iPlay 50 mini Pro 태블릿의 펌웨어 이미지에서 이 백도어를 확인했습니다. 공급업체가 악성코드 보고를 인정한 이후에 출시된 버전을 포함한 모든 조사된 버전에 백도어가 포함되어 있었습니다. 펌웨어 파일은 유효한 디지털 서명을 가지고 있어, 사후 변조가 아니라 공급망 침해임을 시사합니다.

Impact and Distribution

• 카스퍼스키에 따르면 전 세계 13,715명의 사용자가 Keenadu 또는 그 모듈을 경험했습니다.
• 가장 높은 감염률은 러시아, 일본, 독일, 브라질, 네덜란드에서 보고되었습니다.
• 이 위협은 Triada, BadBox, Vo1d와 같은 다른 안드로이드 봇넷 패밀리와 연관되어 있습니다.

주요 플래그십 안드로이드 브랜드에는 영향을 미치지 않는 것으로 보입니다. 대부분의 영향을 받은 공급업체는 공개적으로 이름이 언급되지 않았습니다.

Recommendations

• 특히 소규모 혹은 익숙하지 않은 브랜드의 저가 안드로이드 태블릿을 사용하고 있다면, 정기적으로 소프트웨어 업데이트를 확인하고 제공되는 즉시 설치하십시오.
• 공급업체에 이미 통보했으며, 곧 깨끗한 펌웨어 업데이트가 제공될 예정입니다.

Further Reading

• Android malware overview
• Report on Keenadu Android backdoor
• Help Net Security article
• Best Android tablets guide