“안드로이드 기기 노리는 랜섬웨어 발견”
상태바
“안드로이드 기기 노리는 랜섬웨어 발견”
  • 김선애 기자
  • 승인 2017.10.17 10:08
  • 댓글 0
이 기사를 공유합니다

이셋 “어도비 플래시 플레이어로 위장해 배포…기기 PIN 번호 잠궈 장치 사용할 수 없게 해”
▲안드로이드 더블로커 감염 화면

안드로이드 기기를 잠그고 돈을 요구하는 랜섬웨어가 발견돼 사용자의 각별한 주의가 필요하다.

유럽의 엔드포인트 보안 기업 이셋(ESET)은 17일 ‘안드로이드 더블로커’ 랜섬웨어가 발견됐다고 밝혔다. 이 랜섬웨어는 안드로이드 운영체제의 접근성 서비스를 악용하는 것으로 알려진 뱅킹 트로이 목마를 기반으로 제작됐다. 사용자의 은행 계좌 정보를 수집하고 계정을 삭제하는 등의 관련된 기능은 없지만, 피해자로부터 몸값을 강탈하기 위한 도구를 포함하고 있다.

더블로커는 PIN 번호을 변경해 피해자가 기기를 사용할 수 없도록 하며, 이전의 안드로이드용 랜섬웨어와 달리 장치에 저장된 데이터를 암호화한다. 감염된 웹 사이트를 통해 가짜 어도비 플래시 플레이어로 배포되며, 앱이 실행되면 접근성 서비스인 ‘Google Play 서비스’가 활성화되도록 요청한다.

접근성 권한을 얻은 후 장치의 관리자 권한을 활성화하고 사용자의 동의 없이 기본 홈 애플리케이션인 런처로 설정돼 사용자가 홈 버튼을 클릭할 때마다 랜섬웨어가 활성화되어 장치가 잠긴다.

더블로커는 장치의 PIN 번호을 변경해 PIN 번호를 사용하는 피해자가 장치를 사용할 수 없도록 한다. 생성된 PIN 번호는 저장하거나 공격자에게 전송되지 않으므로 복구가 불가능하며, 몸값 지불 후 공격자는 PIN 번호를 원격으로 재설정하고 장치의 잠금을 해제할 수 있다.

또한 장치의 기본 저장소 폴더의 모든 파일을 AES 알고리즘으로 암호화한 후 cryeye 확장자를 추가하는데, 암호화된 파일은 공격자로부터 암호화 키를 받지 않고는 복구가 불가능하다.

몸값은 0.0130 비트코인(약 54달러)으로 설정됐으며 24시간 내에 지불되지 않으면 데이터는 암호화된 상태로 유지된다. 더블로커 랜섬웨어를 풀 수 있는 유일한 방법은 공장초기화이다. 루팅된 장치의 경우 PIN 번호 잠금을 우회할 수 있지만, 장치가 잠기기 전에 디버깅 모드가 활성화돼 있어야 한다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.