2024-03-29 08:50 (금)
신종 안드로이드 랜섬웨어 ‘DoubleLocker’ 발견…주의
상태바
신종 안드로이드 랜섬웨어 ‘DoubleLocker’ 발견…주의
  • 길민권 기자
  • 승인 2017.10.17 14:24
이 기사를 공유합니다

DoubleLocker, 장치에 저장된 데이터 암호화하는 최초의 안드로이드용 랜섬웨어

▲ 이셋코리아 제공. DoubleLocker 랜섬웨어
▲ 이셋코리아 제공. DoubleLocker 랜섬웨어
신종 안드로이드 랜섬웨어 ‘DoubleLocker’가 발견됐다. 안드로이드 스마트폰 사용자들의 각별한 주의가 요구된다.

이셋코리아(대표 김남욱) 측은 “Android/DoubleLocker.A로 진단되는 이 랜섬웨어는 안드로이드 운영체제의 접근성 서비스를 악용하는 것으로 알려진 뱅킹 트로이 목마를 기반으로 제작되었지만, 사용자의 은행 계좌 정보를 수집하고 계정을 삭제하는 등의 관련된 기능은 없으며, 피해자로부터 몸값을 강탈하기 위한 두 가지 강력한 도구를 포함하고 있다”고 설명했다.

DoubleLocker는 장치의 PIN 번호을 변경해 피해자가 기기를 사용할 수 없도록 할 뿐만 아니라, 이전의 안드로이드용 랜섬웨어와 달리 장치에 저장된 데이터를 암호화하는 최초의 안드로이드용 랜섬웨어다.

이 랜섬웨어는 주로 감염된 웹 사이트를 통해 가짜 Adobe Flash Player로 배포되며, 앱이 실행되면 접근성 서비스인 'Google Play 서비스'가 활성화되도록 요청한다. 접근성 권한을 얻은 후 장치의 관리자 권한을 활성화하고 사용자의 동의 없이 기본 홈 애플리케이션인 런처로 설정되어 사용자가 홈 버튼을 클릭할 때마다 랜섬웨어가 활성화되어 장치가 잠긴다.

또 장치에서 실행된 후 피해자가 몸값을 지불해야 하는 두 가지 이유를 만든다. 첫째, 장치의 PIN 번호을 변경해 PIN 번호를 사용하는 피해자가 장치를 사용할 수 없도록 하는데, 생성된 PIN 번호는 저장하거나 공격자에게 전송되지 않으므로 복구가 불가능하며, 몸값 지불후 공격자는 PIN 번호를 원격으로 재설정하고 장치의 잠금을 해제할 수 있다.

둘째, DoubleLocker는 장치의 기본 저장소 폴더의 모든 파일을 AES알고리즘으로 암호화한 후 cryeye 확장자를 추가하는데, 암호화된 파일은 공격자로부터 암호화 키를 받지 않고는 복구가 불가능하다.

몸값은 0.0130 비트코인(약 54달러)으로 설정되었으며 24 시간 내 지불되어야 한다는 것을 강조하고 있는데 몸값이 지불되지 않으면 데이터는 암호화 된 상태로 유지되며 삭제되지 않는다.

DoubleLocker 랜섬웨어를 장치에서 제거할 수 있는 유일한 방법은 장치의 공장 초기화다. 그러나 루팅된 장치의 경우 PIN 번호 잠금을 우회할 수 있는 방법이 있지만 이 방법을 사용하려면 장치가 잠기기 전에 디버깅 모드가 활성화되어 있어야 한다.

김남욱 이셋코리아 대표는 "장치를 잠그기만 하던 기존의 안드로이드용 랜섬웨어와는 달리 DoubleLocker 랜섬웨어는 장치 내의 데이터를 암호화하고 장치를 잠근 후 몸값을 요구하는 최초의 안드로이드용 램섬웨어다. 이제 랜섬웨어는 장치의 종류를 가리지 않고 감염되고 있으며, 몸값을 요구하는 인질의 종류도 데이터의 암호화나 장치 잠금, 민감한 정보를 폭로하겠다는 협박 등 더욱 다양해지고 있다. 검증되지 않은 사이트 방문이나 앱 설치를 자제하고, 성능이 확인된 보안 솔루션을 적절히 사용하는 것이 매우 중요하다"고 전했다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★