안드로이드 기기를 대상으로 한 콜러 ‘폴리스’(Koler ‘police’) 모바일 랜섬웨어 악성 공격의 숨겨진 부분을 추가로 발견됐다. 이는 몇몇의 브라우저 기반 랜섬웨어 및 PC 사용자를 노린 익스플로잇 킷(exploit kit)을 포함하고 있다고 카스퍼스키랩(지사장 이창훈) 측이 밝혔다.
 
지난 7월 23일부터 이번 공격의 모바일 구성요소는 차단됐으며, 명령 및 제어 서버를 통해 모바일 피해자에게 ‘악성 코드 삭제’ 명령을 전송하기 시작하면서 효과적으로 악성 애플리케이션이 제거되고 있다. 그러나 PC 사용자를 대상으로 한 나머지 악성 코드들이 여전히 활성화돼 있는 것으로 밝혀져 주의가 요구된다.
 
이번 공격은 피해자가 콜러 악성 코드 운영자가 관리하는 성인 웹사이트에 접속하는 것에서 시작된다. 악성 코드가 성인 웹사이트를 이용한 것은 피해자 스스로 불법 성인물을 보는 것에 죄책감을 느끼고 있고 경찰에 의한 처벌 가능성을 인식하고 있기 때문이다. 이에 악성 코드는 피해자가 기기를 사용하지 못하도록 잠근 후 기기의 위치와 유형(모바일 또는 PC)에 따라 ‘경찰’을 빙자해 현지 언어로 금전 지불을 유도하는 메시지를 보여 준다.
 
주목할 점은 여러 시나리오에 따라 더 효율적인 수익화를 위해 성인 사이트에 접속한 사용자를 트래픽 분산 시스템을 활용해 악성 코드가 배포되는 별도의 사이트로 이동시키는 지능적인 방법을 사용했다는 것이다.

 
◇랜섬웨어 앱 설치 유도=성인 사이트에 접속한 기기가 모바일 기기일 경우, 웹사이트는 콜러 랜섬웨어인 animalporn.apk 앱의 설치를 유도한다. 일단 앱이 설치되면, 기기를 잠그고 ‘경찰’을 빙자해 100~300 달러의 금전 지불을 요구한다.
 
◇브라우저 랜섬웨어 웹사이트로 이동=피해자의 웹사이트 접속 정보를 조회해 ▲위치 정보 확인 ▲안드로이드 여부 ▲인터넷 익스플로러 사용 여부를 확인하여, 사용자가 모바일 기기에서 접속한 것으로 판단되면, 실제 기기를 감염시키지는 않고 앞서 설명한 금전 지불을 유도하는 메시지 창을 보여 준다.
 
◇앵글러 익스플로잇 킷(Angler Exploit Kit)이 배포되는 웹사이트로 이동=피해자가 인터넷 익스플로러를 사용하는 경우, 실버라이트, 어도비 플래시, 자바용 취약점을 악용해 공격하는 ‘앵글러 익스플로잇 킷’이 배포되는 웹사이트로 이동시킨다. 카스퍼스키랩의 분석 과정에서 이 취약점 악용 코드는 완벽하게 작동하는 것으로 확인됐다.
 
비센티 디아즈 카스퍼스키랩 수석 보안 연구원은 콜러에 대한 새로운 분석 결과에 대해 "가장 관심을 가져야 할 부분은 공격에 사용된 분산 네트워크다. 수십 개의 자동 생성된 웹사이트가 사용자들을 트래픽 분산 시스템을 사용하는 중앙 허브로 접속을 넘긴다. 이는 이 공격이 얼마나 치밀하고 위험한지를 보여준다. 공격자는 자동화를 통해 악성 코드의 유형을 변경하거나 다른 피해자를 대상으로 유사한 공격 인프라를 신속하게 만들 수 있다. 또한, 공격자는 여러 기기를 대상으로 공격을 수익화할 다양한 방법을 모색할 수 있다”고 말했다.
 
해당 랜섬웨어 공격에 대처하는 방법으로, 경찰은 금품을 요구하지 않으므로 절대 지불해서는 안 된다. 또 웹사이트 검색 중에 설치를 유도하는 알 수 없는 안드로이드 앱은 절대 설치하지 않아야 하고 신뢰하지 않는 웹사이트를 방문하지 않는다. 또 신뢰할 수 있는 안티 바이러스 솔루션을 사용해야 한다.
 
카스퍼스키랩은 이번 랜섬웨어 악성 코드를 Trojan.AndroidOS.Koler.a로 탐지하고 있으며, 관련 보고서의 전문은 카스퍼스키랩의 보안 분석 웹 사이트(securelist.com)를 통해 확인 가능하다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com