요즘 유포되는 악성코드의 대부분은 금전적 이득을 목적으로 제작된다. 소액결제를 노린 'chest' 금융정보를 노린 'bankun' 등의 능동적 수익 모델과 랜섬웨어와 같은 입금을 기다리는 수동적인 모델이 있는데, 오늘 다루고자 하는 악성 앱은 후자의 경우에 속하는 모바일 랜섬웨어를 다루고자 한다.
국내의 경우에는, 아직 대부분 문서작업등을 PC에서 하고 있기 때문에 PC(Windows)보다 상대적으로 위협적이진 않다. 하지만 스마트 폰에 의해 만들어진 사진, 영상 등은 스마트 폰에서 생성되는 유일한 자료라고 본다면 그렇지 않을지도 모르겠다.
과거 ASEC Blog를 통하여 안드로이드 랜섬웨어인 ANDROID DEFENDER에 대해 다룬 적이 있다. 해당 악성 앱은 허위 감염 내용으로 금전적 이득을 취하려는 내용이었다.
ASEC Blog : http://asec.ahnlab.com/974 (안드로이드 랜섬웨어)
이번에는 SimpleLocker 라고 불리는 랜섬웨어에 대하여 살펴보겠다. 해당 악성 앱은 스마트 폰의 파일을 암호화하고 이를 통하여 금전적 이득을 취하려고 한다. 이런 모습은 Windows 기반의 랜섬웨어와 유사하다. 이 악성앱은 지난 5월경부터 꾸준히 발견되고 있다.
악성 앱이 사용한 아이콘을 비교하기 위해 몇 개의 아이콘을 확인해봤다. 안드로이드, iGO, Flash player의 아이콘을 사용함으로써 사용자를 속이기 위한 것으로 보인다.
[그림 1] 랜섬웨어의 아이콘
위 악성 앱(iGO아이콘)을 설치하는 과정에서 아래와 같은 권한과 휴대폰 관리자 권한을 요구한다. 앱을 설치하면 4PDA(iGO) 러시아 페이지를 보여준다.
[그림 2] SimpleLocker 설치
휴대폰 관리자를 활성화 할 경우 보여지는 페이지의 소스
[그림 3] 4pda 페이지 로딩 소스
악성 앱의 패키지명은 com.simplelocker 이며, Android 4.2 버전에 맞춰서 제작되었다.
|
Android 4.2, 4.2.2 |
17 |
JELLY_BEAN_MR1 |
[표 1] 악성 앱 Android 제작 버전
[그림 4] 악성 앱의 권한정보
악성 앱 설치 후에는 스마트폰의 디바이스 정보(IMEI)를 전송한다.
[그림 5] 디바이스 정보 전송
실제 전송되는 패킷을 살펴보면 아래와 같다.
[그림 6] 디바이스 정보 전송 패킷
이후 스마트폰에 저장된 문서, 이미지, 동영상 파일을 'jddlasssadxc322323sf074hr' 키 값으로 암호화한다.
또한, 암호화한 파일의 끝에 '.enc' 확장자를 추가하여 저장하며, 원본 파일은 삭제한다. 암호화 대상 파일은
'jpeg', 'jpg', 'png', 'bmp', 'gif', 'pdf', 'doc', 'docx', 'txt', 'avi', 'mkv', '3gp', 'mp4' 이다.
[그림 7] 암호화 대상 파일 리스트
암호화된 파일은 아래 그림과 같이 확장자가 추가되었다. 일반적으로 이미지(사진) 파일은 갤러리 앱으로 보게 되는데, [그림 8]과 같이 암호화된 경우에는 사진 목록에서 확인할 수 없게 된다.
[그림 8] 암호화된 파일
추가적으로 Flash Player 아이콘으로 위장하고 com.common.weather 패키지명을 사용하는 랜섬웨어 악성 앱의 증상을 살펴보겠다. 스마트폰의 기기모델명, IMEI, 전화번호, 통신사, 국가 정보를 가져와 첫 화면에 표시하고, 불법 저작권 및 관리법 위반에 해당하므로 벌금을 내지 않을 경우 2~8년 동안 자유를 박탈하겠다고 협박한다.
[그림 9] 랜섬웨어 악성 앱 설치 화면
설명이 장황하지만, 랜섬웨어에 자주 등장하는 단어들이 보인다. 'FBI', 'pornography', 'card with $500' 요약하자면 잠긴 스마트폰을 풀고, 파일을 복호화 하고 싶으면 $500를 입금하고, 입금이 확인되면 미국 재무부에서 24시간 안에 차단을 해제해 주겠다는 내용이다.
"To unlock your device and avoid legal persecution to the maximum extent of the law, you are obligated to pay a fine of $500. Acceptable payment must be made through GreenDot MoneyPak. Load a MoneyPak card with $500 and enter the code below. MoneyPak cards can be found in most stores, gas stations and paypoints." (중략)
"As soon as the money arrives to the U.S. Department of the Treasury, your device will be unblocked in 24 hours."
[그림 10] FBI 를 사칭한 협박과 금전 요구
화면 중간에 스마트폰 사용자가 보이도록 카메라를 설정했다. 그리고 자신을 범죄자처럼 묘사했다.
"Your camera is used for gathering additional information for investigation. All the footage will be added to a criminal case."
대부분 랜섬웨어에 감염된 스마트폰은 사용자의 제어를 불가능하게 만든다. 다른 앱의 실행은 물론, 악성 앱 삭제를 할 수 없도록 여러 가지 방법을 사용한다. 이런 경우에는 스마트 폰을 "안전모드"로 부팅하여 "기기 관리자(휴대폰 관리자)"를 비활성화하여 삭제하면 된다.
제조사 별로 안전모드에 접근하는 방법은 다양하다. 사용자가 많은 2개 제조사의 안전모드 부팅 방법은 아래와 같다.
LG : 전원버튼 -> "전원끄기" 메뉴를 길게 누르고 있으면 안전모드 부팅 메시지가 보인다.
삼성 : 리부팅 시 통신사 로고가 나올 때 '메뉴' 버튼에 불이 들어오는데 이때 '메뉴'버튼을 누르고 있으면 안전모드로 부팅 된다.
기기관리자 권한을 획득한 악성 앱을 삭제하려면 아래의 순서로 조치하면 된다.
안전모드로 부팅 후, [설정] – [기기관리자(휴대폰 관리자)] 메뉴에서 악성 앱을 비활성화(체크해제)해준다.
다음으로 애플리케이션 목록에서 해당 앱을 제거하면 된다.
[그림 11] 기기관리자(휴대폰 관리자) 악성 앱의 권한(체크해제) 및 제거
요즘은 간단한 작업이나 인터넷을 이용할 경우, PC보다 스마트폰을 이용하는 경우가 많아졌다. (2014년 7월 기준 스마트폰 가입자: 39,348,621명, 출처: 지식경제부 IT통계포털) 가입자의 증가와 더불어 악성 앱 역시 증가했다. 따라서 앱은 공식 마켓에서 다운로드 하여 설치하는 것이 상대적으로 안전하지만, 공식 마켓에도 악성 앱이 등록되어 있을 수 있어 평판 정보를 확인하고 설치하는 습관을 지녀야 한다. 무심코 문자에 포함된 URL을 클릭하다 보면 악성 앱이 설치될 수도 있기 때문에 안전성이 확인되지 않은 URL 및 앱은 설치는 하지 않도록 주의해야 한다. 또한, 모바일 전용 보안 앱(V3 모바일 등)이나 스미싱 탐지 앱(안랩 안전한 문자 등)을 설치하고, 자동 업데이트 설정으로 항상 최신 엔진을 유지하여 더욱 안전한 스마트폰 환경을 만들어야 한다.
V3 제품에서는 아래와 같이 진단이 가능하다.
<V3 제품군의 진단명>
Android-Trojan/Simplelock
'악성코드 정보' 카테고리의 다른 글
| 안랩 ‘V3’, ‘AV-TEST’ 국제 인증 획득 (0) | 2014.11.26 |
|---|---|
| RAR.EXE 압축툴을 이용한 중요 파일들 유출하는 악성코드 (0) | 2014.11.20 |
| 국방표준종합정보시스템 VPN 사용자를 겨냥한 악성코드 CHM (0) | 2014.11.06 |
| 정상파일을 위장한 PlugX 악성코드 유포 (0) | 2014.09.25 |
| SafeSvcInstall, 4년 째 공격 시도 중 (0) | 2014.09.19 |
댓글