ESET, 최신 안드로이드 랜섬웨어 DoubleLocker 발견에 주의

2017년 10월 17일(화)

유럽의 엔드포인트 보안 전문 업체 ESET(이셋)의 국내 대표 법인 이셋코리아 (대표: 김남욱, http://www.estc.co.kr)는 장치의 데이터를 암호화한 후 장치를 잠그는 새로운 안드로이드 랜섬웨어를 발견되어 사용자의 각별한 주의가 필요하다고 전했다.

ESET 제품에 의해 Android/DoubleLocker.A 로 진단되는 이 랜섬웨어는 안드로이드 운영체제의 접근성 서비스를 악용하는 것으로 알려진 뱅킹 트로이 목마를 기반으로 제작되었지만, 사용자의 은행 계좌 정보를 수집하고 계정을 삭제하는등의 관련된 기능은 없으며, 피해자로부터 몸값을 강탈하기 위한 두 가지 강력한 도구를 포함하고 있다.

DoubleLocker 는 장치의 PIN 번호을 변경하여 피해자가 기기를 사용할 수 없도록 할 뿐만 아니라, 이전의 안드로이드용 랜섬웨어와 달리 장치에 저장된 데이터를 암호화하는 최초의 안드로이드용 랜섬웨어라 할 수 있다. DoubleLocker 는 주로 감염된 웹 사이트를 통해 가짜 Adobe Flash Player 로 배포되며, 앱이 실행되면 접근성 서비스인 'Google Play 서비스'가 활성화되도록 요청한다. 접근성 권한을 얻은 후 장치의 관리자 권한을 활성화하고 사용자의 동의 없이 기본 홈 애플리케이션인 런처로 설정되어 사용자가 홈 버튼을 클릭할 때마다 랜섬웨어가 활성화되어 장치가 잠긴다.

DoubleLocker 는 장치에서 실행된 후 피해자가 몸값을 지불해야 하는 두가지 이유를 만든다. 첫째, 장치의 PIN 번호을 변경하여 PIN 번호를 사용하는 피해자가 장치를 사용할 수 없도록 하는데, 생성된 PIN 번호는 저장하거나 공격자에게 전송되지 않으므로 복구가 불가능하며, 몸값 지불 후 공격자는 PIN 번호를 원격으로 재설정하고 장치의 잠금을 해제할 수 있다. 둘째, DoubleLocker 는 장치의 기본 저장소 폴더의 모든 파일을 AES 알고리즘으로 암호화한 후 cryeye 확장자를 추가하는데, 암호화된 파일은 공격자로부터 암호화 키를 받지 않고는 복구가 불가능하다.

몸값은 0.0130 비트코인(약 USD 54)으로 설정되었으며 24 시간 내에 지불되어야 한다는 것을 강조하고 있는데, 몸값이 지불되지 않으면 데이터는 암호화 된 상태로 유지되며 삭제되지 않는다. DoubleLocker 랜섬웨어를 장치에서 제거할 수 있는 유일한 방법은 장치의 공장 초기화이다. 그러나 루팅된 장치의 경우 PIN 번호 잠금을 우회할 수 있는 방법이 있지만, 이 방법을 사용하려면 장치가 잠기기 전에 디버깅 모드가 활성화되어 있어야 한다.

이셋코리아의 김남욱 대표는 "장치를 잠그기만 하던 기존의 안드로이드용 랜섬웨어와는 달리 DoubleLocker 랜섬웨어는 장치 내의 데이터를 암호화하고 장치를 잠근 후 몸값을 요구하는 최초의 안드로이드용 램섬웨어입니다. 이제 랜섬웨어는 장치의 종류를 가리지 않고 감염되고 있으며, 몸값을 요구하는 인질의 종류도 데이터의 암호화나 장치 잠금, 민감한 정보를 폭로하겠다는 협박 등 더욱 다양해지고 있습니다. 검증되지 않은 사이트 방문이나 앱 설치를 자제하고, 성능이 확인된 보안 솔루션을 적절히 사용하는 것이 매우 중요합니다."고 전했다.

전자신문	"홍콩 중소기업 60% 이상 사이버보안 위반 경험"
데이터넷	“안드로이드 기기 노리는 랜섬웨어 발견”
데일리시큐	신종 안드로이드 랜섬웨어 ‘DoubleLocker’ 발견…주의
아이티데일리	이셋, 안드로이드기기 대상 랜섬웨어 ‘더블락커’ 발견
이뉴스투데이	모바일 보안 적색불..."스마트폰 랜섬웨어 안전지대 아냐"
디지털데일리	데이터 암호화 후 장치 잠그는 안드로이드용 랜섬웨어 ‘주의’