본문 바로가기
악성코드 정보

안드로이드 랜섬웨어 주의

by DH, L@@ 2013. 10. 30.

 

스마트폰 사용자들을 타깃으로 금전적 이득을 취하려는 악성 앱들이 급격히 증가하고 있는 가운데, 존재하지 않는 악성코드 진단화면을 보여주고, 치료를 위해 결제를 유도하는 악성 앱이 지속적으로 발견되어 사용자의 주의가 필요하다.

 

또한, 결제가 이루어지기 전까지 스마트폰을 사용하지 못하도록 [그림 1]처럼 바탕화면에 팝업을 계속 발생시키므로, 사용자에게 큰 불편을 초래한다.

 

이러한 악성코드는 사용자의 중요한 자산을 불모로 잡고 돈을 요구한다고 해서, 랜섬(ransom)웨어(ware)라고 불린다.

 

 




                [그림 1] 안드로이드 랜섬웨어

 

최근 발견된 안드로이드 랜섬웨어는 지난 3월경부터 최근까지 아래와 같은 아이콘으로 위장하여 유포되고 있었다.

 

[그림 2] 안드로이드 랜섬웨어 아이콘


악성 앱의 권한을 살펴보면, 개략적 행위 추정이 가능하다. SMS, 네트워크, 백그라운드 프로세스 종료, 사용자의 연락처 접근하는 행위 등을 짐작할 수 있으며, 재 부팅 시에 자동으로 시작되도록 설계되어 있다.

[그림 3] 악성앱 권한 정보

 

아래와 같이, 앱을 설치할 때 권한 정보를 확인할 수 있다.

 

[그림 4] 앱 설치 과정 1

 

권한정보를 확인하고 설치를 진행하면, 아래와 같이 '휴대폰 관리자' 활성화 화면이 나타난다.

(기기에 따라, '휴대폰 관리자' 또는 '기기 관리자' 또는 '디바이스 관리자'로 나타난다.)

 

[그림 5] 앱 설치 과정 2

 

사용자가 취소 또는 활성화, 둘 중에 어느 옵션을 선택해도 앱은 '설치과정 1' 에서 이미 설치되었으며, 아래 와 같이 허위 악성코드 감염 정보를 보여주고, 결제를 유도한다.

 

[그림 6] 허위 검사 화면 / 허위 진단 화면

 

[그림 7] 구매유도 화면 / 인증 키 입력 화면

 

악성앱 실행화면에서 '홈' 화면으로 이동하여도, 다른 앱을 실행할 때 악성앱으로 인하여 다른 작업을 할 수 없는 상황에 빠진다. 전화기의 기본 기능인 문자와 통화 조차 불가능하다.

 

아래와 같은 악성코드를 제거를 권한다는 내용의 메시지 팝업으로 사용자의 다른 작업을 방해한다.

 

[그림 8] 악성코드 제거를 권하는 팝업 메시지

 

[그림 9] 악성코드 제거를 권하는 팝업 메시지(사용자의 스마트폰 사용을 방해)

 

위와 같은 악성 행위로, 사용자가 수동으로 앱을 삭제하려고 해도 삭제하지 못하는 상황이 발생하며, 다른 모든 작업을 불가능하게 만든다.

 

소스코드의 일부를 살펴보면, 악성앱을 실행하였을 경우, 아래 목록과 일치하는 프로세스가 존재할 경우 종료하도록 설계되었다.

[그림 10] 프로세스 종료 명령 코드 일부

 

[프로세스 리스트]

"com.rechild.advancedtaskkiller",

"com.estrongs.android.pop",

"com.metago.astro",

"com.avast.android.mobilesecurity",

"com.estrongs.android.taskmanager",

"com.gau.go.launcherex.gowidget.taskmanagerex",

"com.gau.go.launcherex",

"com.rechild.advancedtaskkillerpro",

"mobi.infolife.taskmanager",

"com.rechild.advancedtaskkillerfroyo",

"com.netqin.aotkiller",

"com.arron.taskManagerFree",

"com.rhythm.hexise.task"

 

 

스마트폰에 저장된 SMS 를 읽어오는 코드가 존재하며, 해당 SMS는 droidbackup.db 에 저장한다.

 

[그림 11] 저장된 SMS를 읽어오는 코드 일부

 

droidbackup.db 는 아래와 같이 구성되어 있다.

[그림 12] droidbackup.db

 

ANDROID DEFENDER 랜섬웨어가 설치된 경우, 일반 사용자가 수동으로 조치하기는 어려울 것으로 예상된다. 따라서, V3 모바일 백신과 같은 믿을 수 있는 모바일 백신 제품을 사용하여 감염되지 않도록 사전에 주의 하는 것이 무엇보다 중요하다.

 

 

해당 악성코드는 V3 Mobile 제품을 통해 진단 및 치료가 가능하다.

 

<V3 제품군의 진단명>

 

Android-Trojan/FkDefend

댓글