중국산 안드로이드기기에서 대규모 백도어 발견

<div class="figure-img" data-ke-type="image" data-ke-style="alignCenter" data-ke-mobilestyle="widthOrigin" data-link="https://cafe.daum.net/subdued20club" data-link-newwindow="_blank"><a href="https://cafe.daum.net/subdued20club" target="_blank" class="ke-link"><img src="https://t1.daumcdn.net/cafeattach/1IHuH/c66b4a1a23c64192bd183f48a1868843d96257d5" width="288" height="288" data-img-src="https://t1.daumcdn.net/cafeattach/1IHuH/c66b4a1a23c64192bd183f48a1868843d96257d5" data-origin-width="1024" data-origin-height="1024"></a></div>출처: <a href="https://www.fmkorea.com/8143888661" target="_blank" class="ke-link">https://www.fmkorea.com/8143888661</a> <div class="figure-img" data-ke-type="image" data-ke-style="alignCenter" data-ke-mobilestyle="widthOrigin"><img src="https://t1.daumcdn.net/cafeattach/1IHuH/5a722fe87cd4c92ae6ccfe69d1e88bf641a7c9e5" class="txc-image" width="1280" height="480" data-img-src="https://t1.daumcdn.net/cafeattach/1IHuH/5a722fe87cd4c92ae6ccfe69d1e88bf641a7c9e5" data-origin-width="1280" data-origin-height="480"></div> <a href="https://www.humansecurity.com/learn/blog/satori-threat-intelligence-disruption-badbox-2-0/" target="_top" class="ke-link">https://www.humansecurity.com/learn/blog/satori-threat-intelligence-disruption-badbox-2-0/</a> 보안업체인 HUMAN은 지난 3월 5일 "BADBOX 2.0"으로 명명한 대규모 사이버 사기 작전 및 악성코드를 조사한 보고서를 발표함. 2.0이라는 이름이 붙은 이유는 지난 2023년에도 비슷한 형태의 "BADBOX"를 발견한 바 있기 때문임. BADBOX 2.0 자체가 BADBOX 사후 조사 과정에서 발견됨. 이 조사는 구글, 마이크로트렌드, 섀도우서버 등 파트너와 협력하여 실시했고 조사과정에서 악성행위 중 일부분은 차단하는데 성공했음. <div class="figure-img" data-ke-type="image" data-ke-style="alignCenter" data-ke-mobilestyle="widthOrigin"><img src="https://t1.daumcdn.net/cafeattach/1IHuH/45e8c6dcb0dbd2eaf917c5d6da93fafd64ffff87" class="txc-image" width="839" height="358" data-img-src="https://t1.daumcdn.net/cafeattach/1IHuH/45e8c6dcb0dbd2eaf917c5d6da93fafd64ffff87" data-origin-width="839" data-origin-height="358"></div> HUMAN은 100만대 이상의 저가, 이름없는 기기(off brand), 인증을 받지 않은 태블릿, 안드로이드 TV, 디지털 프로젝터, 차량용 안드로이드 기기등이 "BADBOX 2.0"의 영향 하에 있는 것으로 추산되며, 전 세계 222국에서 BADBOX 2.0 관련 트래픽을 관측했다고 발표함. 측정한 트래픽은 주로 브라질과 미국에 집중되어 있었음. 영향을 받는 기기의 특성 - 모두 중국 본토에서 생산한 기기- Android TV OS 탑재 혹은 구글 Play Protect 인증 안드로이드 기기가 아님 BADBOX 2.0의 영향을 받는 기기가 사용자 몰래 하는 일 <div class="figure-img" data-ke-type="image" data-ke-style="alignCenter" data-ke-mobilestyle="widthOrigin"><img src="https://t1.daumcdn.net/cafeattach/1IHuH/bc0e45a5eafbe5bdd2a92e945405d41d92d8bab7" class="txc-image" width="1024" height="540" data-img-src="https://t1.daumcdn.net/cafeattach/1IHuH/bc0e45a5eafbe5bdd2a92e945405d41d92d8bab7" data-origin-width="1024" data-origin-height="540"></div> 몰래 탈취한 IP주소를 판매하는 사이트 <div class="figure-img" data-ke-type="image" data-ke-style="alignCenter" data-ke-mobilestyle="widthOrigin"><img src="https://t1.daumcdn.net/cafeattach/1IHuH/4acfb9ce39ea1bd892b5e8ee88aad7ae2072d429" class="txc-image" width="1024" height="400" data-img-src="https://t1.daumcdn.net/cafeattach/1IHuH/4acfb9ce39ea1bd892b5e8ee88aad7ae2072d429" data-origin-width="1024" data-origin-height="400"></div> 이렇게 팔린 IP로 제3자가 계정탈취공격을 시도 IP탈취: 사용자의 허가 없이 기기가 연결된 IP를 제3자에게 안전한 프록시라는 명분으로 판매함 (소위 '집피')이 자체는 별 것 아닐 수 있으나, 제3자가 이러한 IP를 사용하여 원 IP 사용자 모르게 DDoS같은 공격행위에 사용할 수 있기 때문에 문제가 됨 <div class="figure-img" data-ke-type="image" data-ke-style="alignCenter" data-ke-mobilestyle="widthOrigin"><img src="https://t1.daumcdn.net/cafeattach/1IHuH/8bdc421a2d10302904f5651dd1681d5226ff1d35" class="txc-image" data-img-src="https://t1.daumcdn.net/cafeattach/1IHuH/8bdc421a2d10302904f5651dd1681d5226ff1d35" data-origin-width="1024" data-origin-height="586"></div> 광고 사기: 몰래 광고를 렌더링하거나 HTML5 게임사이트로 위장한 사기사이트로 이동하게 만들어 마치 유저가 클릭한 것처럼 위장, 부정하게 광고수익을 올림 <div class="figure-img" data-ke-type="image" data-ke-style="alignCenter" data-ke-mobilestyle="widthOrigin"><img src="https://t1.daumcdn.net/cafeattach/1IHuH/77d0ccf9eed4bcd037b8f187e1c2346cf9d66b55" class="txc-image" width="874" height="181" data-img-src="https://t1.daumcdn.net/cafeattach/1IHuH/77d0ccf9eed4bcd037b8f187e1c2346cf9d66b55" data-origin-width="874" data-origin-height="181"></div> 광고 클릭 사기: 기기를 조작해 자동으로 쓰레기사이트 페이지의 광고를 클릭하게 만드는 수법으로 부정수익을 올림 이외 필요하다면 사용자 몰래 원격서버에 접속해 추가로 악성 apk를 다운 받아 설치하거나 기기의 동작을 마음대로 원격제어 가능 <div class="figure-img" data-ke-type="image" data-ke-style="alignCenter" data-ke-mobilestyle="widthOrigin"><img src="https://t1.daumcdn.net/cafeattach/1IHuH/2c485cdf31f62cd47397f722a56505e13f748383" class="txc-image" width="960" height="540" data-img-src="https://t1.daumcdn.net/cafeattach/1IHuH/2c485cdf31f62cd47397f722a56505e13f748383" data-origin-width="960" data-origin-height="540"></div> BADBOX 2.0이 작동하는 방식 1. 기기에 선탑재된 형태 2. 첫 부팅 이후 인터넷에 접속하면 C2(명령 및 제어) 서버에 접속해 관련 파일을 다운로드하고 백도어를 여는 형태 3. 제3자 앱마켓에서 정교하게 위장한 백도어 앱을 사용자가 다운로드 해서 설치: 효과적인 유도를 위해 구글 플레이스토어에는 멀쩡한 앱을 올린 후 다운로드 횟수를 조작(사용자에게 신뢰를 주기 위해)하고, 제3자 앱마켓에는 백도어가 담겨있는 앱을 올리는 수법(evil twins)을 사용하기도 함. 한 번 백도어가 깔리면 사용자가 임의로 지울 수 없게 만듬 <div class="figure-img" data-ke-type="image" data-ke-style="alignCenter" data-ke-mobilestyle="widthOrigin"><img src="https://t1.daumcdn.net/cafeattach/1IHuH/6c48b29e760e5eb9b12cd37b33677e1968e5b16a" class="txc-image" width="301" height="394" data-img-src="https://t1.daumcdn.net/cafeattach/1IHuH/6c48b29e760e5eb9b12cd37b33677e1968e5b16a" data-origin-width="301" data-origin-height="394"></div> 추가로 정상적인 역할을 하는 앱을 대체하는 apk를 원격 서버에서 받아 백도어를 설정하기도 함. 이러한 앱들은 원래 앱의 기능을 수행하며 백도어를 열도록 만들어져 있어서, 사용자는 겉으로는 여기에 백도어가 있음을 인지할 수 없음. <div class="figure-img" data-ke-type="image" data-ke-style="alignCenter" data-ke-mobilestyle="widthOrigin"><img src="https://t1.daumcdn.net/cafeattach/1IHuH/1820660dfc3933e7b69e05e7aef9cef5f9246e90" class="txc-image" width="1001" height="1001" data-img-src="https://t1.daumcdn.net/cafeattach/1IHuH/1820660dfc3933e7b69e05e7aef9cef5f9246e90" data-origin-width="1001" data-origin-height="1001"></div> BADBOX 2.0의 주타겟이 되거나 악의적인 선탑재가 의심되는 기기는 TV98, X96 등등이며 아래 사이트 최하단에 있음. <a href="https://www.humansecurity.com/learn/blog/satori-threat-intelligence-disruption-badbox-2-0/" target="_top" class="ke-link">https://www.humansecurity.com/learn/blog/satori-threat-intelligence-disruption-badbox-2-0/</a> 대처법Google Play Protect 인증을 받은 기기만 사용 ( <a href="https://www.android.com/certified/" target="_top" class="ke-link">https://www.android.com/certified/</a> )또는 구글의 지침에 따라 Google Play Protect 인증 확인 ( <a href="https://support.google.com/googleplay/answer/7165974" target="_top" class="ke-link">https://support.google.com/googleplay/answer/7165974</a> )제3자 앱마켓 사용자제: 구글 플레이에는 정상적인 앱을 올리고, 제3자 앱마켓에는 악성앱을 올리는 수법을 사용하기도 함일단 백도어에 감염된 기기는 일반 사용자가 쉽게 해결할 수 있는 방법이 없는 것으로 보임 (특히 선탑재의 경우는 더욱)   잘모르니 눈길댓펌<hr data-ke-style="style5">뽐뿌나 이런데 보면 샤오미폰이나 태블릿 많이들 힛템으로 쓰던데 이런거 신경안쓰고 그냥 사는걸까?---------------------------------------------------------------------------일단 샤오미는 백도어 의혹이 있었지만 악의적인 선탑재 백도어가 공식적으로 드러난 건 없었고(내가 모르는걸수도 있음), 레노버는 서드파티 프로그램을 노트북에 선탑재했다가 보안취약점 때문에 난리가 난적이 있었음. 단, 중국 내수용을 직구했다면 완전히 다른 이야기임. 중국 내수 제품은 뭐가 됐든 그냥 감시당하고 있다고 보면 된다.--------------------------------------------------------------------------- 그럼 중국내수용 사고 글로벌롬으로 바꿔도 남아있다는건가?---------------------------------------------------------------------------나름 이름 있는 레노버나 샤오미 안드 제품같은건 신제품 나오면 인도나 미국 유럽 러시아애들이 XDA 같은데서 아주 내부 파일을 갈기갈기 다 뜯어발겨보던데 듣보들은 모르겠음--------------------------------------------------------------------------- 샤오미폰 같은건 전세계에서 많이 뜯어보는거라 이상한건 없음---------------------------------------------------------------------------그런거다 장난감으로 쓰는 서브폰이니까 크게 문제가 안될꺼 같음 설마 한국인중게 그걸 메인폰으로 쓰는 사람이 있겠어 ㅋㅋ<hr data-ke-style="style5">샤오미는 구글 인증 파트너임. <a href="https://www.android.com/certified/partners/" target="_top" class="ke-link">https://www.android.com/certified/partners/</a> 저기서 말하는 중국산 기기들은 알X같은데서 파는 말 그대로 무슨 브랜드인지 알수도 없는 잡종들 말하는 것---------------------------------------------------------------------------근데 그렇다고 해서 내수용이라고 무조건 다 백도어가 있거나 하진 않은듯 예를 들면 내가 레노버 태블릿으로 그냥 내수롬으로 쓰고 있는데 이 태블릿으로 구글플레이 잔액 30~40만원씩 쟁여놓고(모바일 게임 현질용) 거의 3년가까이 쓰고있는데 딱히 3년동안 잔액이 털리거나 그런적은 없는듯 만약 백도어가 깔려있었으면 해커 입장에서는 이 3년이라는 기간동안 구글플레이 잔액을 군침만 흘리면서 가만 놔뒀을리가 없을테니 오히려 내수롬이 아닌게 더 위험한 경우가 아래 댓글처럼 판매자가 직접 글로벌롬을 깔아서 보내주는데 문제는 이 글로벌롬이 정식롬이 아니라서 이상한 앱이 선탑재되있는 그런 케이스가 있을수 있어서 차라리 그냥 순수 상태의 내수롬 쓰거나 정식 글로벌롬을 자기가 직접 설치하는게 나은듯 요약 = 중국꺼 기왕 살거면 샤오미,레노버 같은 메이저 기업꺼로 써라---------------------------------------------------------------------------내수용이라고 레노버 같은 메이저 브랜드 마저 돈 갈취 사기가 있으면 중국이 안돌아갈껄. 그냥 정부에서 데이터 수집하는거 말하겠지---------------------------------------------------------------------------중간 업자가 악성 앱 깔기도 함. 내가 알리에서 레드미 사고 이상해서 몇몇 앱 확인해보니 악성앱이었음.--------------------------------------------------------------------------- 이 말도 맞음. 알리에서 레X버꺼 안드 기기 글로벌판이라며 파는애들 상당수가 내수용 뜯어서 지들맘대로 롬민담에 글로벌판이라 구라쳐서 파는거<hr data-ke-style="style5">삼성은 안전한거 맞나 이거? 녹스가 탑재된 삼성 안드로이드 기기는 이미 2013년에 미 국방부 사용승인을 받았음 <a href="https://www.samsungmobilepress.com/press-releases/samsung-knox-approved-by-department-of-defense-for-use-in-us-government-2/" target="_top" class="ke-link">https://www.samsungmobilepress.com/press-releases/samsung-knox-approved-by-department-of-defense-for-use-in-us-government-2/</a><hr data-ke-style="style5"> 다피했는데 로보락 하나 쓰고있네... 당연히 백도어있겠지?  그런 메이저는 애초에 인도 선생님들이 코드 하나하나 다 해부해봄 근데 이미 중국 IP캠 해킹으로 카메라 달린건 조심해야하는 세상인지라 영상 풀린것들 많던데 조심하긴 해야함 <hr data-ke-style="style5"> 태블릿 스마트폰 같은걸로 백도어 주장하는건 헛소리고 미니pc, umpc중 일부 그리고 안드로이드셋톱박스는 샤오미 같은 대기업 제외하고 거의 대부분 해당됨 셋톱박스는 절대 사지마라 원문에 정말로 Devices connected to the BADBOX 2.0 operation included lower-price-point, “off brand”, uncertified tablets, connected TV (CTV) boxes, digital projectors, and more. 라고 되어있음. 유명 대기업 제품은 님 말대로 신제품 나오면 XDA에서 능력자들이 탈탈 털어보는게 맞는데 알X같은데서도 흔한 이름도 없는 듣보브랜드 태블릿은 그렇지 않으니까...그리고 위에도 누가 썼지만 X리에서 물건파는 중간업자들이 유명 대기업 제품 내수용 가져다가 대충 롬 밀고 영어 나오니까 글로벌판이라고 해서 팔기도 함. 그런 물건은 정말로 뭐가 선탑되어 있을지 모르는거긴 함. 실제로 레노버 Y700 시리즈가 그랬음.<hr data-ke-style="style5">본문에서 말하는 저 백도어는 주로 알리 같은데서 5~12만원에 파는 그런 초저가형 기기들 (회사 이름도 들어본적 없는) 그런 회사 제품들 말하는듯 예를 들면 알리에서 스마트폰 검색하면 나오는 세르보, 유니헤르츠, 푸피, 오키텔, 소예스 등등 <-이런 듣보 회사들이 만든 스마트폰 조심하라는듯 맞음. 본문에 다 써놨는데 샤오미나 레노버 같은 메이저 회사들로 불안해 하는 이유를 잘 모르겠음. 알X에서 중간판매자가 임의로 봉인뜯고 커스텀 롬 설치한거 아닌 이상은 글로벌판 샀으면 대체로 안전함. 중국 내수용은 중국 법 상 그런 감시체계가 있어야 한다고 알아서 솔직히 매우 의심스럽지만 잘 모르겠음. 개인적으로는 중국 내수판은 디폴트 상태에서 어떻게든 감시체계가 있을 것이라 의심하는게 맞다고 봄.<hr data-ke-style="style5"><a href="https://www.deviceinfohw.ru/devices/item.php?item=76836" target="_top" class="ke-link">https://www.deviceinfohw.ru/devices/item.php?item=76836</a> 검색해보니 AM로직 제품 꽤 많네 여기꺼 여기저기서 떼다팔던거같은데 이거 리스트가 맞다면 알리뿐만 아니라 쿠팡직구 아마존 다 조심해야함<hr data-ke-style="style5">경험담 해외 전문가들 왈 한동안 해외 다큐들에서 전문가들이 중국계 폰이나 앱 컴 프로그램 등 다양한 기기에서 중국이 맘만 먹으면 서로 연계하여 여러 혼란을 일으킬 수 있는 대규모 해킹 테러가 가능하단 주장이 나왔었음 회원 가입시 개인정보나 결제시 결제정보 등을 이용하여 대규모 금융 시스템 혼란 마비 등을 일으켜 특정 국가를 혼란 속에 빠뜨리고 마비시킬 수 있다고 또한 컴 폰 등을 연계하여 국가 시스템에 접속하여 각종 신호 체계 및 오작동을 일으킬 수도 있다고 심지어 평시엔 유저들이 눈치 못챌정도로 아무런 이상없이 몰래 감청 도청 각종 정보 수집 등을 하여 악용할 빅데이터를 구축할 수 있다고  미국이 중국의 특정 기업이나 앱 등을 벤 하거나 주시하는 이유가 그런 가능성 때문이라고 평소 몰래 조금씩 쌓아놓은 각종 백도어나 숨은 프로그램 등으로 국방 관련 테러도 가능할 수 있단다 즉 유사시엔 각종 시스템 등을 악용하여 안에서부터 무너지고 대혼란을 만들고 전파 등 연락 체계를 무너뜨릴 수 있다고 유사 영화도 만들어지고 각종 다큐가 나오고 미 정부측에서도 진지하게 전담 부서를 만들어 대비하고 있다는 말도 잇을 정도임 미국에 대항할 준비를 위해 한국같은 만만한 국가를 대상으로 이미 실험하고 훈련하고 있단 첩보 기관의 정보도 있다는 후문 중국의 초한전 전략을 기억하라 강조하더라<hr data-ke-style="style5">