사이버 보안의 글로벌 리더인 ESET(이셋)의 국내 법인 이셋코리아(www.estc.co.kr)는 신종 Android 랜섬웨어를 발견하고 복호화 도구를 제작했다고 밝혔습니다.

ESET에서 CryCryptor로 탐지한 새로운 랜섬웨어는 공식 COVID-19 추적 앱으로 위장해 캐나다의 Android 사용자를 타겟으로 해왔으나 ESET은 이 공격을 중단시켰습니다.

ESET 연구진은 Android 뱅킹 맬웨어로 추정되는 것이 발견되었음을 알리는 트윗 덕분에 캐나다의 Android 사용자를 대상으로 하는 랜섬웨어 작업을 발견했습니다. 이 작업 배후의 공격자들은 두 개의 COVID-19를 테마로 한 웹사이트를 사용하여 공식 COVID-19 추적 도구로 위장한 랜섬웨어 앱을 다운로드하도록 유도했습니다. 현재 두 웹 사이트 모두 다운되었으며 ESET 연구진은 악성 앱의 버그를 기반으로 CryCryptor 피해자들을 위한 암호 해독 도구를 제작했습니다.

이 조사를 수행한 Lukáš Štefanko는,
“CryCryptor에는 영향을 받는 장치에 설치된 모든 앱이 이 앱에서 제공하는 서비스를 시작할 수 있는 버그가 포함되어 있습니다. 그래서 우리는 CryCryptor에 내장된 암호 해독 기능을 실행하는 앱을 만들었습니다.”
라고 설명했습니다.

랜섬웨어 운영의 시기와 표적은 캐나다 정부가 COVID Alert라고하는 전국적인 자발적 추적 앱의 개발을 지원하겠다는 발표와 일치합니다.

Štefanko는,
“CryCryptor를 사용한 작업은 공식 COVID-19 추적 앱을 이용하도록 설계되었습니다.

악의적인 웹사이트가 다운되고 보안 벤더가 인식하며 복호화 도구를 사용할 수 있게 되면서 이 앱은 더 이상 위협이 되지 않습니다. 그러나 이것은 특정 버전의 CryCryptor에만 해당됩니다.

CryCryptor는 오픈 소스 코드를 기반으로 합니다. Štefanko는,
“우리는 코드가 호스팅되는 GitHub에 통보했지만 악성 프로젝트를 중단시키는 데 뛰어난 성과를 거두지는 못하고 있습니다”
라고 했습니다.

ESET 제품은 CryCryptor 랜섬웨어를 차단하며 탐지명은 Android/CryCryptor.A 입니다.

ESET의 Štefanko는,
“Android 사용자는 고품질의 모바일 보안 솔루션을 사용하는 것 외에도 Google Play 스토어와 같이 평판이 좋은 소스에서만 앱을 설치하는 것이 좋습니다.”
라고 결론을 내렸습니다.

자세한 내용은 WeLiveSecurity.com 블로그 게시물 New ransomware posing as COVID‑19 tracing app targets Canada; ESET offers decryptor 을 참조하십시오. ESET Research의 최신 뉴스를 보려면 Twitter에서 ESET Research를 팔로우하십시오.

• 아이뉴스 : 이셋 "캐나다 은행 겨냥한 신종 랜섬웨어 발견"
• 파이낸셜신문 : 이셋, 신종 안드로이드 랜섬웨어 발견…복호화 도구 제작·제공