출처: https://www.fmkorea.com/9842941541
2025년 3월에 보안업체인 HUMAN이 중국산 안드로이드 기기에 탑재되어 있는 대규모 백도어 BADBOX 2.0을 발견했다는 소식을 올린 적이 있음. (해당글: 중국산 안드로이드기기에서 대규모 백도어 발견 )
이렇게 중국산 안드로이드 기기에 선탑재되어 있는 백도어를 비교적 최근에 실제로 역분석한 글(원문: https://zanestjohn.com/blog/reing-with-claude-code )이 있어 요약해 소개해 봄.
스탠퍼드 대학교에 재학중인 학부생인 Zane St. John( https://zanestjohn.com/ )은 아마 중국산 안드로이드TV박스마냥 악성코드가 포함되어 있을 것 같다는 짐작 하에 알리익스프레스에서 (현재도) 판매 중인 Magcubic HY300 Pro+를 약 35달러에 구입했음.
이 제품은 겉으로 보기에는 꽤 그럴듯해 보임. 안드로이드11 프로덕션 빌드를 탑재하고 있으며 루팅된 상태도 아니었음. 박스에서 꺼내 전원을 꽂으면 그럭저럭 볼만한 수준의 자체 런처까지 실행되어서 나름 고급진 인상을 줌. 하지만, 제인이 이 기기를 와이파이에 연결하자 마자 바로 실상이 드러남. 아무것도 안하고 런처만 켜져 있는 상태인데도 인터넷 연결을 확인하자 마자 프로젝터가 바로 수상쩍은 원격서버와 통신하기 시작했음.
알고보니 이 기기에는 대만 HTC와는 전혀 무관한 기기임에도 불구하고 com.htc.* 이라는 이름으로 시작하는 앱이 난독화 되어 선탑재(시스템 앱으로 취급되어 비루팅 상태에서는 제거 불가, 루팅 후 제거 가능)되어 있었고, 이 중 가장 악질 앱은 OEM 제조사인 hotack( https://www.hotack.cn/ ) SDK 이름이 붙어 있는 com.hotack.silentsdk 앱으로 무려 안드로이드 핵심 서비스와 동일 수준의 권한(android:sharedUserId=”android.uid.system”)을 가지고 있었음.
com.hotack.silentsdk 앱이 이 권한을 가지고 있다는 점은 상당히 의미심장한데, 왜냐하면 이 권한은 안드로이드 시스템과 동등한 권한임에서 알 수 있듯 개나소나 쓸 수 있는 것이 아니기 때문임. 원래는 특정한 비밀키(platform key)를 가지고 있는 제조사만이 안드로이드 앱에 자신이 가지고 있는 이 키로 서명한 후, 해당 앱에 서명된 키가 기기에 탑재된 키와 일치해야만 사용할 수 있는 특수한 권한임.
다만, 다른 유저의 제보에 따르면 이 기기에 탑재된 앱의 경우 제조사 키는 아니고 안드로이드 앱 개발용으로 공개된 ASOP 테스트키로 서명되었다고 함. 사실 오히려 이 경우가 더 위험할수도 있는데, 만천하에 공개되어 있는 키로 대충 서명한 앱을 까는 것만으로도 안드로이드 시스템과 동등한 권한을 가질 수 있기 때문임.
아무튼 com.hotack.silentsdk 앱은 이후 시스템 권한을 이용하여 기기에서 아래와 같은 동작을 수행했음.
1. 안드로이드 시스템 부팅시 무조건 다른 앱보다 우선적으로 실행함
2. 임의로 강제종료를 하지 못하게 막고, 강제로 서비스를 종료하더라도 자동으로 다시 시작
3. (당연히 사용자 동의 없이) 해당 기기의 정보를 원격 서버로 전송
4. 원격서버의 명령에 따라 특정 앱을 기기로 전송하고 시스템 권한으로 설치
5. 루팅을 통해 선탑재되어있는 악성앱이 삭제되더라도 원격서버에서 해당 앱을 찾아 다시 설치
BADBOX 2.0 글에서 소개한 것처럼, com.hotack.silentsdk 가 하는 주요 악성행위 중 하나는 기기가 접속되어 있는 네트워크 정보를 몰래 중국 프록시 업체에 전송하는 일이었고, 해당 업체는 이렇게 획득한 IP를 소위 말하는 “집피”라 선전하며 트래픽 1GB당 10위안(약 2200원)에 팔고 있었음.
이 기기는 첫 부팅시 특정 명령어 스크립트를 통해 구글 플레이 프로텍트를 비활성화하도록 설정되어 있어 안드로이드 OS 자체의 안전장치도 아무 소용이 없고, 애초에 악성앱이 원래 탑재되어 있고 모든 시스템 권한을 가진 구조라 공장초기화도 소용이 없음. OTA로 펌웨어 업데이트를 하면? 당연히 악성코드가 다시 깔림. 결국 이런 기기를 어떻게든 꾸역꾸역 쓰려면 루팅 후 선탑재된 악성앱을 일단 제거하고, 특정 서버와의 통신을 막아버리는 조치 정도만이 해법이며 이렇게 해도 이미 시스템 레벨로 악성앱이 들어있기 때문에 무슨 짓을 할지 그리고 완전히 안전하다고 장담할 수 없다는 것이 분석결론임.
Zane St. John은 프로젝터를 35달러라는 거의 원가에 가까운 수준에 소비자에게 판매하고, 대신 사용자의 IP주소를 다른 업체에 팔아넘겨 수익을 창출하는 사업모델이 아닐까 추측함. 가장 황당한 부분은 이러한 악성행위를 하는 펌웨어 커널에 대놓고 OEM 제조사인 Hotack 명의로, 사용한 SDK(Allwinner)와 서버모델(Dell PowerEdge R740)까지 기록되어 있다는 점임. 그냥 자기 회사 이름을 걸고 악성코드를 담은 기기를 공급하는 것임. Hotack 홈페이지를 가보면 15년 이상 역사가 있는 회사라 소개하고, 하드웨어 관련 나름 이것저것 인증도 받았고 심지어 주요 고객 중에 Lenovo와 Polaroid 같은 곳도 있다고 소개함에도 이러함.
참고로 이 프로젝터에 들어간 칩을 만든 Allwinner는 저렴한 중국산 듣보 안드로이드 태블릿이나 스마트기기에 들어가는 Arm 기반 SoC를 만드는 중국업체인데, 2016년에 자사 칩 사용 기기용으로 커스텀한 안드로이드 리눅스 커널에 디버그용이랍시고 말 그대로 개나소나 루트 권한을 얻을 수 있는 백도어를 넣었다가 발견되어 물의를 빚기도 했음. ( https://www.theregister.com/software/2016/05/10/this-is-what-a-root-debug-backdoor-in-a-linux-kernel-looks-like/610127 )
이 글에서 소개한 Magcubic HY300 Pro+ 기기에 탑재된 악성코드에 대한 상세한 분석 결과는 맨 위의 Zane St. John 홈페이지나 Github( https://github.com/zane-programs/reversing-with-claude-code/tree/master/projector-malware )에서 확인할 수 있음.
대처법은…지난번 BADBOX 2.0 게시물에서 소개했듯이
Google Play Protect 인증을 받은 기기만 사용 ( https://www.android.com/certified/ )
또는 구글의 지침에 따라 Google Play Protect 인증 확인 ( https://support.google.com/googleplay/answer/7165974 )
애초에 Magcubic HY300 Pro+ 기기처럼 제조사 레벨에서 선탑재 된 기기는 그냥 안쓰는 것 외에 답이 없음
시ㅈ핑과 나의 집 IP등을 공유할 것이 아니라면 듣보회사의 안드로이드 기기는 안 사는 것이 정답임
출처:
https://zanestjohn.com/blog/reing-with-claude-code
잘모르니 댓펌)
프로젝터인데 어떤 리스크가 있는거임?
캠이 있어서 날 찍고있는것도 아니고 내가 뭐 보는지정보좀 넘어가는거야 상관없지 않나?
니집 와이파이망에 연결, 기기 정보, 집피 포함 네트워크 정보 전송, 안드보다 우선설정되어있어서 안드보안과 관계없이 나중에 임의로 앱 우회 설치가능 //여기까지가 본문내용// 임의로 설치되는 앱으로 와이파이망 연결된 기기정보 추가 탈취 가능, 망내 공유 허용된 기기에 악성앱 던져넣기 가능, 그게 니 pc나 휴대폰이라면 이후는 흔한 스토리
레노버 샤오신 패드 정도 까지는 저런거 없겠지?
NASA에서도 씽크패드씀 ㅋㅋ
레노버는 그 급 아니긴한데 중국 내수용은 조금 불안하긴하지. 특히나 레노버는 글로벌롬 올린다고 전세계 사람들이 커널 다 뜯어봐서 저렇게 대놓고 권한 탈취하는건 없음. 백도어 가능성이 조금은 있긴하지. 난 레노버랑 iplay 태블릿 둘 다 있긴한데, 좀 더 다양한 작업하는 레노버는 몇 십 더 주고 국내정발로 샀고 iplay는 2차인증 해야만 로그인 가능한 구글이랑 네이버만 로그인해둠.
태블릿은 참고로 올도큐브거가 걸림(한국인들 많이 씀)
아래는 댓토론펌
