수상한 안드로이드 TV 박스: 백도어 감염과 그 원인

• 1. 서론
• 2. 감염된 디바이스와 취약점
  • 2-1. 감염된 디바이스 모델
  • 2-2. 취약한 운영체제 버전
• 3. 감염 경로
  • 3-1. 취약점 및 루트 접근
  • 3-2. 비공식 펌웨어
• 4. 백도어 작동 방식
  • 4-1. 악성 파일 및 스크립트
  • 4-2. C&C 서버와의 통신
• 5. 감염된 디바이스 확인 방법
  • 5-1. 악성코드 스캐너 사용
  • 5-2. 수동 확인 방법

 

서론

최근 보안 전문가들에 의해 약 1.3백만 개의 안드로이드 기반 TV 박스가 백도어를 통해 감염되었다는 충격적인 보고가 나왔습니다. 이 백도어는 'Android.Vo1d'라는 이름의 악성코드로, 전 세계 거의 200개국에 걸쳐 널리 퍼져 있습니다. 보안업체 Doctor Web의 연구원들은 이 감염의 원인에 대해 여전히 확실하게 규명하지 못한 상태입니다.

감염된 디바이스와 취약점

감염된 디바이스 모델

감염된 디바이스 모델은 다음과 같습니다:

• R4 안드로이드 7.1.2
• TV BOX 안드로이드 12.1
• KJ-SMART4KVIP 안드로이드 10.1

이들 모델은 오래된 운영체제를 사용하고 있으며, 보안 취약성이 높다고 합니다.

취약한 운영체제 버전

감염의 주요 원인 중 하나는 오래된 운영체제 버전을 사용하는 것입니다. 예를 들어, 안드로이드 7.1, 10.1, 12.1 버전은 각각 2016년, 2019년, 2022년에 출시된 바 있습니다. 많은 예산형 디바이스 제조업체들이 최신 모델인 것처럼 보이게 하기 위해 오래된 운영체제 버전을 설치하는 경우가 흔한데, 이 때문에 보안 취약성이 높은 디바이스가 만들어질 수 있습니다.

감염 경로

취약점 및 루트 접근

Doctor Web의 연구원들은 아직 감염의 정확한 경로를 파악하지 못했지만, 몇 가지 가능한 경로를 제시하고 있습니다. 하나는 운영체제의 취약점을 이용해 루트 권한을 얻는 방법이고, 다른 하나는 비공식 펌웨어 버전을 통한 방법일 수 있습니다.

비공식 펌웨어

구글의 안드로이드TV는 인증된 디바이스 제조업체만 수정할 수 있는 반면, 오픈 소스 버전의 안드로이드는 누구나 수정할 수 있습니다. 따라서 감염된 디바이스가 공급망에서 이미 감염된 상태로 사용자에게 전달되었을 가능성도 배제할 수 없습니다.

백도어 작동 방식

악성 파일 및 스크립트

Android.Vo1d는 여러 악성 파일과 스크립트로 구성되어 있으며, 그 중 일부는 다음과 같습니다:

• /system/xbin/vo1d
• /system/xbin/wd
• /system/bin/debuggerd
• /system/bin/debuggerd_real

이들 파일은 시스템 재부팅 시 자동으로 실행되도록 설정되어 있어, 사용자 모르게 백도어를 통해 지속적으로 제어할 수 있게 합니다.

C&C 서버와의 통신

이 백도어는 공격자가 제어하는 서버(C&C 서버)와 통신하여 추가 악성코드를 설치하거나 명령을 수행할 수 있도록 합니다. 전 세계적으로 수많은 변종이 발견되었으며, 이는 C&C 서버의 명령에 따라 다양한 파일을 다운로드하고 실행할 수 있음을 의미합니다.

감염된 디바이스 확인 방법

악성코드 스캐너 사용

대부분의 사용자들은 전문적인 악성코드 스캐너를 이용해 감염 여부를 확인할 수 있습니다. Doctor Web의 안티바이러스 소프트웨어는 모든 Vo1d 변종을 탐지하고 제거할 수 있다고 합니다.

수동 확인 방법

더 숙련된 사용자들은 다음 링크에서 제공하는 방법을 통해 수동으로 감염 여부를 확인할 수 있습니다: 수동 확인 방법

거의 1.3백만 개의 안드로이드 기반 TV 박스가 백도어를 통해 감염된 것은 큰 충격을 주고 있습니다. 연구원들은 여전히 감염의 원인을 정확히 규명하기 위해 노력하고 있으며, 우리는 이러한 위협으로부터 우리의 기기를 보호하기 위해 꾸준한 보안 점검과 신뢰할 수 있는 소프트웨어를 사용하는 것이 중요합니다.