구글 위협분석팀 TAG(Threat Analysis Group)가 안드로이드 스마트폰을 대상으로 한 3가지 유형 공격에 대해 소개했다. 3종 공격은 모두 삼성전자 스마트폰을 대상으로 실행되는 것이다. 또 같은 조사를 실시한 민간 보안 기업 시티즌랩(The Citizen Lab)에 따르면 공격 대상에는 터키에 망명 중인 이집트 정치인 아이만 누르도 포함됐다고 한다.
TAG가 보고한 공격 3종은 모두 단축 URL 서비스가 생성하는 URL을 모방한 URL을 이메일로 송신하는 수법으로 실행됐다. 이런 공격은 수십 명이라는 한정된 사람을 대상으로 실행되고 있어 아르메니아, 인도네시아, 이집트, 그리스, 코트디부아르, 스페인, 세르비아, 마다가스카르인을 대상으로 한 공격이 확인됐다고 한다. TAG는 공격이 정부 기관에 의해 지원됐다고 확신한다고 밝혔다.
3가지 공격은 모두 스파이웨어 에일리언(Alien)을 안드로이드 스마트폰에 넣은 것이었다. 에일리언에는 음성 녹음, 앱 비표시, 전자증명서 발행 등 기능이 포함되어 있어 스파이웨어 프레데터(Predator)를 불러들이는 역할을 담당하고 있었다고 한다. 구글은 공격을 탐지했을 때 공격 대상이 된 사용자에게 정부가 지원하는 공격 경고를 보냈다고 한다.
TAG는 프레데터 개발자를 스파이웨어 개발사인 사이트록스(Cytrox)라고 주장한다. TAG와 유사한 조사 결과를 보고한 시티즌랩도 공격에 사이트록스가 관여하고 있다는 걸 강조하고 있으며 사이트록스 CEO(Ivo Malinkovksi) 사진을 공개하기도 했다. 또 시티즌랩은 공격 대상에 이집트 야당 정치가 아이만 누르, 망명 중인 이집트인 저널리스트가 포함됐다고 보고했다.
공격에는 크롬 취약성(CVE-2021-37973, CVE-2021-37976, CVE-2021-38000, CVE-2021-38003), 안드로이드 취약성(CVE-2021-10)이 사용됐다. 3종류 공격 개요는 아래와 같다.
첫째는 2021년 8월 삼성전자 갤럭시 S21을 대상으로 실행했다. 크롬 취약성 CVE-2021-38000을 악용해 크롬에 공격을 가해 사용자 허가 없이 삼성 브라우저에 임의 URL이 로딩됐다. CVE-2021-38000을 악용하는 익스플로잇이 브로커에 의해 판매되고 있어 복수 공격자에게 악용되고 있었다.
둘째는 2021년 9월 삼성전자 갤럭시 S10에서 작동하는 당시 최신 버전 크롬을 대상으로 실해앴다. 크롬 샌드박스를 피해 공격이 실행됐다. 조사 결과 취약성 CVE-2021-37973과 CVE-2021-37976이 발견됐다.
셋째는 2021년 10월 삼성 안드로이드 스마트폰을 대상으로 실행됐다. 크롬 취약성 CVE-2021-38003과 안드로이드 취약성 CVE-2021-1048을 악용했다. CVE-2021-1048은 리눅스에선 2020년 9월 수정됐지만 보안 문제로 플래그가 부여되지 않았기 때문에 많은 안드로이드 제조사가 수정 적용을 선보이고 있었다.
TAG는 3번째 공격처럼 수정이 지연된 취약성이 공격자 표적이 되는 사례가 많다고 말한다. 또 정부가 지원하는 공격자에게 익스플로잇을 제공하는 30개 이상 공급업체를 추적하고 있다고 밝혔다. 관련 내용은 이곳에서 확인할 수 있다.