악성코드인 랜섬웨어가 안드로이드 OS가 탑재된 스마트TV를 잠근 뒤 아이튠즈 선물 카드를 요구하는 피해 사례가 나타나 사용자들의 주의가 요구된다.
보안 솔루션 회사인 트렌드마이크로에 따르면 이 회사는 최근 안드로이드용 단말기 잠금형 랜섬웨어인 ‘에프로커’(FLocker)가 스마트TV를 감염시켜 사용자에게 금품을 요구한 사례를 발견했다.
작년 5월 확인된 에프로커는 트렌드마이크로가 확인한 변종만 7천여개에 달한다. 해커들은 탐지를 피하기 위해 악성 프로그램을 계속 개선하는 수법을 사용했고, 증감을 반복하던 중 지난 4월 중순에는 그 수가 급증해 1200개 이상의 변종이 확인되기도 했다.
최근 확인된 에프로커 변종은 법 집행 기관을 사칭하는 이른바 ‘폴리스 랜섬’이다. 다국어에 대응하며, 영어 표시의 경우 미국의 ‘사이버 폴리스’ 등을 자칭하는 것으로 나타났다.
이 랜섬웨어는 사용자가 저지르지도 않은 범죄에 관여했다고 트집을 잡는다. 일본어 표시의 경우에는 1만~2만엔 분의 아이튠즈 선물 카드를 벌금으로 요구한다. 트렌드마이크로 분석에 따르면 이번 안드로이드 탑재 스마트TV와 TV박스에 감염된 에프로커는 지금까지 확인된 에프로커와 다르지 않다.
에프로커는 탐지를 피하기 위해 자신의 코드를 에셋(assets) 폴더에 원시 데이터 파일로 은폐한다. 생성되는 파일 이름은 ‘form.html'로, 보통 파일처럼 보인다. 그런데 'classes.dex'코드가 실행되면 form.html이 해독되면서 악성 코드가 활동한다.
에프로커가 실행되면 단말기가 어떤 국가에서 작동하는지 확인이 이뤄진다. 만약 카자흐스탄, 불가리아, 조지아, 헝가리, 우크라이나, 러시아, 벨라루스 등으로 확인되면 에프로커는 활동을 종료한다. 만약 감염 단말기 이외의 국가에 해당될 경우, 감염 30분 후 부정 활동을 시작한다.
이 후 랜섬웨어는 활동을 수행하기 위해 즉시 단말기의 관리자 권한을 요구한다. 사용자가 이를 거부하면 악성 프로그램은 시스템의 업데이트를 위장한 화면을 표시한다.
에프로커는 백그라운드에서 실행을 계속하면서 원격 조정 서버(C&C서버)에 연결 명령을 수신한다. 그 후 C&C 서버는 자바스크립트 인터페이스를 시작하고, 다른 악성 응용 프로그램인 misspelled.apk와 ransom이라는 HTML 파일을 사용자 기기에 보낸다. HTML 페이지는 무단 응용 프로그램을 설치하고 자바스크립트 인터페이스로 사용자의 사진을 촬영한 뒤, 촬영한 사진을 협박장 페이지에 표시한다.
관련기사
- 배너 광고 악용한 랜섬웨어 유포 위험수위2016.06.15
- 랜섬웨어 전성시대...피싱메일 93% 차지2016.06.15
- 한국어 랜섬웨어 또 등장...벌써 세번째2016.06.15
- 1분기 랜섬웨어 유포, 전년동기대비 17배 늘어2016.06.15
화면이 잠겨있는 동안 C&C 서버는 단말 정보, 전화번호, 현재 위치 등의 정보를 수집한다. 수집된 정보는 하드코드된 AES 방식으로 암호화 되며 즉시 Base64로 인코딩 된다.
트렌드마이크로는 “종종 랜섬웨어는 SMS의 스팸 메시지와 악성 링크를 통해 사용자에게 확산된다. 메일이나 웹을 보고 있을 때 동영상이나 음악재생, 메시지 수진 및 다운로드 실행 등 보안 향상 등의 명목으로 설치를 자극할 수도 있다”며 “사용자는 인터넷을 탐색할 때, 또는 알 수 없는 소스로부터의 메시지나 메일을 받을 때 조심해야 한다”고 조언했다.