무심코 악성메일을 받아 열어봤다가 랜섬웨어에 감염된 피해사례들이 한동안 심각한 사회문제를 일으켰던 가운데 이제는 스마트폰까지 랜섬웨어 공격대상으로 지목되고 있어 주의가 필요하다.
최근 보안회사 이셋(ESET)은 '더블락커(DoubleLocker)'라는 모바일 랜섬웨어를 새로 발견했다고 밝혔다.
이 랜섬웨어는 해킹된 웹사이트를 통해 가짜 어도비 플래시 업데이트를 위장해 악성코드를 스마트폰에 설치하도록 유도한다.
일단 악성파일이 기기에 다운로드돼 실행되면 가짜 어도비 플래시 앱은 구글 플레이 서비스에서 여러 가지 권한을 열어줄 것을 요청한다. 여기에는 스마트폰 내 콘텐츠 검색 권한이 포함된다. 공격자가 악성 스크립트를 설치해 사용자가 입력한 텍스트를 관찰하기 위한 목적이다.
더블락커는 적절한 사용자 권한을 확보한 뒤 기본 홈 애플리케이션에 랜섬웨어를 설치한다. 그 뒤 사용자가 스마트폰 홈화면을 볼 때 마다 랜섬웨어에 감염됐다는 알림과 함께 특정한 주소로 비트코인을 지불하라는 문구를 표시한다.
ESET 악성코드 연구원인 루카스 스테판코는 "랜섬웨어가 스스로 기본 홈 애플리케이션인 것처럼 설정되면서 사용자가 홈 버튼을 클릭할 때 마다 랜섬웨어가 작동돼 기기가 다시 잠긴다"며 "접근 권한을 요청하는 서비스를 악용한 것"이라고 밝혔다.
더블락커는 2가지 방식으로 사용자 스마트폰을 잠궈버린다.
먼저 다른 랜섬웨어와 마찬가지로 내부에 저장된 중요한 파일들을 AES 암호화 알고리즘을 통해 암호화한다. 암호화된 파일의 확장자명은 'cryeye'다.
두번째는 아예 기기 잠금해제에 쓰이는 4개~6개 숫자로 이뤄진 PIN을 랜덤하게 바꿔버리는 것이다. 이런 식으로 사용자가 자신의 스마트폰에 접근하는 것을 원천봉쇄한다. 공격자들은 랜섬웨어에 대한 대가 지불이 완료되면 원격에서 PIN을 재설정해 잠금해제를 할 수 있도록 한다.
공격자들은 0.0130 비트코인을 대가로 요구한다. 이는 73달러 수준이다.
관련기사
- "비트코인, 사이버 범죄 수입원으로 악용"2017.10.15
- 사이버침해 4년 새 3배↑…“보안 투자 유도해야”2017.10.15
- 랜섬웨어 피해 신고 3년간 7배 늘어2017.10.15
- IoT-랜섬웨어, 영어사전에 들어갔다2017.10.15
랜섬웨어에 대한 기본적인 대응은 댓가를 지불하지 않는 것이다. 이에 더해 안드로이드폰을 루팅한 뒤 PIN을 알아낼 가능성이 있고, 기기가 랜섬웨어에 감염되기 전 디버깅 모드에 있다면 사용자들은 시스템 파일을 삭제해 사용자가 수동으로 기기를 재설정할 수도 있다. 그러나 이는 일반적인 사용자들에게 해당되는 내용은 아니다.
가장 확실한 방법은 구글 플레이 스토어, 애플 앱스토어 등 외에 외부 웹사이트에 공개된 앱 설치파일을 함부로 다운로드하지 않는 것이다. 이에 더해 설정-보안 항목에서 '알 수 없는 출처 앱' 설치가 해제돼 있는지 확인하고, 설치한 앱이 불필요하게 많은 권한을 요구하는 경우에도 의심해 볼 필요가 있다.