진화하는 모바일 랜섬웨어, 언인스톨도 막는다

컴퓨팅입력 :2015/09/14 11:28

손경호 기자

안드로이드 스마트폰 사용자를 노린 모바일 랜섬웨어가 사용자들이 직접 삭제하지 못하게 막고 모바일 백신을 우회하는 등 방법을 적용하면서 점점 PC에서와 유사한 수준으로 진화하는 중이다.

PC나 노트북을 악성코드에 감염시켜 저장된 파일들을 암호화한 뒤 이를 풀어주는 대신 댓가를 요구하는 랜섬웨어는 지난해부터 모바일 기기로까지 번지고 있는 추세다.

이 중 최근 보안회사 ESET가 발견해 분석한 일명 '락커핀(Lockerpin.A)'은 보다 진화된 안드로이드폰용 랜섬웨어라는 점에서 주의가 필요하다.

지난해 발견된 '심플락커(Simple Locker)는 안드로이드폰에 저장된 사용자 파일을 암호화시키는데 악용된 최초 모바일 랜섬웨어다.

모바일 랜섬웨어가 안드로이드폰 잠금해제 화면에 입력할 비밀번호를 임의 숫자로 변경시킨다.

이보다 진화한 락커핀은 기기에 대한 관리자 권한을 확보하거나 보안소프트웨어를 설치해 놓지 않으면 대응이 어려운 것으로 나타났다. 이와 관련 연구팀은 "이 랜섬웨어는 기기 관리자 권한을 획득해 악성앱의 언인스톨을 막는다"며 "이것은 안드로이드 악성코드 분야에서 처음으로 확인한 공격적인 방법"이라고 밝혔다.

더구나 이 모바일 랜섬웨어는 ESET, 어베스트 등과 같은 모바일 백신 프로세스를 임의로 종료시키며, 이를 삭제하기 위해 안전모드나 안드로이드디버그브릿지(ADB) 등을 구동하기 전 첫 화면잠금해제에 사용되는 4자리 숫자(PIN)를 임의로 바꿔버려 악성앱 삭제를 어렵게 만든다.

이 랜섬웨어는 일명 '포르노 드로이드(Porn Droid)'라는 부류의 악성앱을 설치했을 때 작동된다. 이들 앱은 성인동영상 스트리밍 서비스에 사용되나 대개는 악성코드에 감염될 가능성이 높다.

관련기사

해당 앱을 다운로드해 설치하면, 함께 숨겨져 있던 악성코드가 실행되면서 '업데이트 패치 인스톨(Update Patch Installation)'이라는 안내 문구를 안드로이드폰 화면에 띄운다. 사용자가 이를 설치하면 공격자가 관리자 권한을 확보할 수 있게 하는 악성코드가 추기로 실행된다.

다행스러운 점은 사설 앱스토어가 아닌 구글 안드로이드 플레이 스토어에서는 해당 악성앱이 올라와 있지 않고 있다는 점이다. 따라서 공식 앱스토어를 통해서만 앱을 다운로드받아야한다.