보안 연구원들이 수백만 대의 Android 기기에 영향을 미치는 대규모 공급망 공격을 발견했습니다. 공격 대상은 보급형 스마트폰, 스마트워치, 스마트TV 등 다양한 스마트기기다. OEM(Original Equipment Manufacturer) 간 치열한 경쟁이 문제를 낳고 있는 것으로 보인다.
조사하는 동안 연구원들은 싱가포르에서 열린 회의에서 이 문제를 강조했습니다. 그들은 이 문제의 근본 원인을 OEM(Original Equipment Manufacturer) 간의 치열한 경쟁에서 찾았습니다.
제조사는 범인이 아니다
흥미롭게도 스마트폰 제조업체는 모든 구성 요소를 자체적으로 생산하지 않습니다. 중요한 구성 요소 중 하나인 펌웨어는 종종 타사 공급업체에 아웃소싱됩니다. 그러나 휴대폰 펌웨어의 가격 하락으로 인해 이러한 공급업체는 제품을 수익화하는 데 어려움을 겪었습니다.
결과적으로 연구원들은 일부 펌웨어 이미지에 "자동 플러그인"이라는 원하지 않는 추가 요소가 포함되어 있음을 발견했습니다. 그들은 위협적인 소프트웨어 또는 맬웨어가 포함된 "수십" 개의 펌웨어 이미지를 식별하고 약 80개의 서로 다른 플러그인을 식별했습니다. 이러한 플러그인 중 일부는 더 큰 "비즈니스 모델"의 일부였으며 Dark Web 포럼에서 판매되었으며 주류 소셜 미디어 플랫폼 및 블로그에서 광고되었습니다.
악성 플러그인이 공격의 근원이 될 수 있습니다.
이 공급망 공격에서 발견된 플러그인은 영향을 받는 장치를 심각하게 위협하는 다양한 기능을 가지고 있습니다. 이들은 개인 데이터와 같은 민감한 정보를 수집하고 SMS 메시지에 대한 무단 액세스 권한을 얻을 수 있습니다. 또한 이러한 악성 플러그인은 소셜 미디어 계정을 제어하고, 광고 및 클릭 사기를 위해 장치를 악용하고, 인터넷 트래픽을 조작하는 등의 작업을 수행할 수 있습니다. 이러한 플러그인이 활성화하는 유해한 활동의 범위는 광범위합니다.
특히 연구원이 강조한 플러그인 중 하나는 구매자에게 최대 5분 동안 장치에 대한 완전한 제어 권한을 부여합니다. 이는 공격자가 손상된 장치를 "출구 노드"로 활용하여 위협 활동을 수행할 수 있음을 의미합니다.
그들이 수집한 데이터는 전 세계적으로 거의 900만 대의 장치가 이 공급망 공격의 영향을 받았다는 것을 나타냅니다. 영향을 받는 장치의 대부분은 동남아시아와 동유럽에 집중되어 있습니다. 연구원들은 맬웨어 공격 배후의 범인을 명시적으로 밝히지 않았지만 중국에 대한 언급이 여러 차례 나왔기 때문에 간행물에서 자체적인 결론을 내렸습니다.