정부가 사용하는 안드로이드 스파이 도구 인 iOS 분석

보안 연구원들은 전 세계 정부가 사용하는 상용 스파이웨어의 모바일 구성 요소를 해부하고 분석하여 모바일 장치의 데이터를 몰래 기록하고 훔치는 데 사용할 수 있습니다.

카스퍼 스키 랩 (Caspersky Lab)과 시티즌 랩 (Citizen Lab) 연구원에 따르면, 이탈리아 기업인 해킹 팀 (Hacking Team)이 개발 한 원격 제어 시스템 용 모바일 모듈은 법 집행 기관과 정보 기관이 안드로이드, iOS, 윈도우 모바일 및 블랙 베리 기기에 대해 광범위한 감시 조치를 수행 할 수 있도록했다. 토론토 대학의 Munk School of Global Affairs에서 해킹 팀은 Da Vinci 및 Galileo라고도하는 RCS를 정부에 판매하여 데스크톱 컴퓨터, 랩톱 및 모바일 장치를 감시합니다. 일부 국가에서 RCS는 정치 반체제 인사, 언론인, 인권 옹호자, 반대 정치 인물을 감시하는 데 사용됩니다.

카스퍼 스키 랩과 Citizen Lab 연구원들은 모바일 모듈을 공동으로 리버스 엔지니어링했으며 Citizen Lab의 Morgan Marquis-Boire와 Kaspersky의 Sergey Golovanov는 화요일 런던에서 열린 기자 회견에서 그 결과를 발표했습니다.

Golovanov는 Securelist 블로그에 "HackingTeam 제품에 휴대폰 용 맬웨어가 포함되어 있다는 것은 꽤 오랫동안 알려진 사실입니다."

RCS가 할 수있는 일

iOS 및 Android 구성 요소는 키 입력을 기록하고 검색 기록 데이터를 얻을 수 있으며 전자 메일, 문자 메시지 (WhatsApp과 같은 앱에서 보낸 메시지 포함), 통화 기록 및 주소록의 은밀한 수집을 허용합니다. 피해자 화면의 스크린 샷을 찍거나 휴대 전화 카메라로 사진을 찍거나 GPS를 켜서 피해자의 위치를 ​​모니터링 할 수 있습니다. 또한 마이크를 켜서 전화 및 Skype 통화와 장치 근처에서 발생하는 대화를 녹음 할 수 있습니다.

골로 바 노프는“마이크를 활성화하고 정기적으로 카메라를 찍으면 대상을 지속적으로 감시 할 수있다”고 골로 바 노프는 말했다.

연구원들은 모바일 구성 요소가 각 목표에 맞게 맞춤 제작되었다고 말했다. "샘플이 준비되면 공격자는이 샘플을 피해자의 모바일 장치로 전달합니다. 알려진 감염 경로 중 일부는 사회 공학을 통한 스피어 피싱 (제로 데이 등의 익스플로잇과 결합)과 모바일을 동기화하면서 USB 케이블을 통한 로컬 감염을 포함합니다. Golovanov는 말했다.

감시의 긴 팔

RCS는 40 개국 이상에서 326 대의 서버를 식별하는 연구자들과 함께 전 세계적으로 광범위하게 진출했습니다. 대부분의 명령 서버는 미국에서 호스팅되었으며 카자흐스탄, 에콰도르, 영국 및 캐나다가 그 뒤를이었습니다. 그 명령 서버가 해당 국가에 있다고해서 반드시 해당 국가의 법 집행 기관이 RCS를 사용하고있는 것은 아닙니다.

Golovanov는 "그러나 RCS 사용자는 국경 간 법적 문제 나 서버 압류의 위험이 최소 인 곳에서 제어하는 ​​위치에 C & C를 배치하는 것이 합리적입니다"라고 말했습니다.

최신 조사 결과는 RCS 인프라의 20 % 이상이 미국의 12 개 데이터 센터 내에 위치하고 있다는 사실을 발견 한 3 월의 초기 보고서를 기반으로합니다.

스텔스 모드에서 숨기기

Citizen Lab 연구원은 아랍어 뉴스 앱인 Qatif Today의 사본 인 Android 앱에서 해킹 팀 페이로드를 발견했습니다. 악성 페이로드가 합법적 인 앱의 사본에 주입되는 이러한 종류의 전술은 안드로이드 세계에서 상당히 일반적입니다. 페이로드는 이전 버전의 Android 운영 체제에서 취약점을 악용하여 장치에 대한 루트 액세스 권한을 얻습니다.

Citizen Lab의 연구원들은 블로그 게시물에서 "이 악용은 최신 버전의 Android 운영 체제에는 효과적이지 않지만 여전히 많은 사용자가 취약한 레거시 버전을 사용하고 있습니다"라고 말했습니다.

Android 및 iOS 모듈은 모두 고급 기술을 사용하여 휴대 전화의 배터리 소모를 방지하고 특정 작업을 특정 조건으로 수행 할 때 시간을 제한하며 신중하게 작동하여 피해자가 알지 못하도록합니다. 예를 들어, 피해자가 특정 WiFi 네트워크에 연결된 경우에만 마이크를 켜고 오디오 녹음을 할 수 있다고 Golovanov는 말했다.

연구원들은 iOS 모듈이 탈옥 된 기기에만 영향을 미친다는 것을 발견했습니다. 그러나 iOS 장치가 소프트웨어의 데스크톱 또는 랩톱 버전에 감염된 컴퓨터에 연결된 경우 악성 코드는 Evasi0n과 같은 탈옥 도구를 원격으로 실행하여 악성 모듈을로드 할 수 있습니다. 이 모든 것은 피해자의 지식없이 이루어질 것입니다.

Citizen Lab은 또한 익명의 출처로부터 해킹 팀의 사용 설명서로 보이는 사본을 받았습니다. 이 문서는 대상에게 악성 페이로드를 제공하기 위해 감시 인프라를 구축하는 방법, 대상 장치에서 수집 된 인텔리전스 데이터를 관리하는 방법 및 코드 서명 인증서를 얻는 방법에 대해 자세히 설명합니다.

예를 들어, 매뉴얼은 인증서에 Verisign, Thawte 및 GoDaddy를 사용하도록 제안합니다. 대상이 Symbian 장치를 사용하는 경우 공격자는 TrustCenter에서 직접 "개발자 인증서"를 구입하고 Windows Phone을 감염시키기 위해 Microsoft 계정 및 Windows Phone Dev Center 계정을 등록하도록 지시받습니다.

이러한 종류의 감시 소프트웨어의 기본 가정은 구매자가 주로 법 집행 목적으로 이러한 도구를 사용하고 범죄 요소는 액세스 할 수 없다는 가정입니다. 그러나 이것이 사용 가능하다는 사실은 정치적 동기가 부여 된 대상에 대해 사용될 수 있다는 것을 의미하며 이는 전반적인 보안 및 개인 정보 보호에 심각한 영향을 미칩니다.