PC나 스마트폰을 잠가버리고 잠금 상태를 해제하려면 몸값을 내라고 요구하는 랜섬웨어가 요즘 기승을 부리고 있다. 하지만 안드로이드 단말 같은 걸 잠가버리는 랜섬웨어인 에프로커(FLocker)가 스마트폰 뿐 아니라 스마트TV까지 잠가버리고 몸값을 요구한 사례가 보고되어 눈길을 끈다.
에프로커는 지난 2015년 5월 확인된 랜섬웨어다. 안드로이드 단말에선 ‘Androidos_Flocker.A’로 감지되며 이미 7,000개가 넘는 변종이 발견되고 있다. 보안 기업인 트렌드마이크로에 따르면 에프로커는 2015녀부터 올해까지 증감을 반복하고 있지만 올해 4월 급증 당시에는 변종은 1,200개 이상 확인됐다고 한다.
안드로이드 스마트폰이 에프로커에 감염되면 단말은 작동 불가능 상태가 된다. 사용자는 아이튠즈 선불카드 같은 몸값을 요구받는다. 그런데 이번에는 안드로이드 스마트폰 뿐 아니라 안드로이드를 탑재한 스마트TV와 셋톱박스가 에프로커에 감염된 사례가 발견된 것. 트렌드마이크로 측에 따르면 지금까지 발견된 에프로커와 기능상 차이는 없었다고 한다.
에프로커는 정적 분석을 이용한 탐지를 피하기 위해 코드를 안드로이드에 있는 특정 폴더(assets)에 원시 데이터 파일로 일반 파일인 것처럼 ‘form.html’ 같은 형태로 숨긴다. 코드도 간단하기 때문에 단말에선 잘못된 행동을 확인할 수 없다. 하지만 ‘classes.dex’ 코드가 실행되면 해독된 악성코드가 실행된다.
에프로커가 실행되면 단말 발신 지역을 확인한 다음 카자흐스탄과 아제르바이잔, 불가리아, 그루지야, 헝가리, 우크라이나, 러시아, 아르메니아, 벨로루시에서 발신된다면 활동을 멈춘다. 이들 9개 국가 이외 지역에서 발생했다면 감염 후 30분부터 부정 활동을 시작하도록 프로그래밍되어 있다.
트렌드마이크로는 샌드박스 같은 가상 환경 기술을 이용한 동적 분석을 방지할 수 있는 방식을 이용한 것으로 분석하고 있다. 감염 30분 뒤부터 에프로커는 단말 내 관리자 권한을 요구하고 사용자가 요청을 거부하면 에프로커는 시스템 업데이트를 위장한 화면을 표시한다. 에프로커는 백그라운드에서 실행을 계속하면서 원격 조작을 위해 서버와 연결하고 명령을 받는다.
원격 조정 서버는 ‘misspelled.apk’라고 불리는 잘못된 응용 파일을 자바스크립트로 단말에 전송하고 HTML 파일이 악성 앱을 설치해 자바스크립트를 이용해 사용자 사진을 촬영한다. 촬영한 사진은 협박을 하는 페이지에 표시된다.
단말이 잠겨 있는 동안 원격 조정 서버는 단말 정보와 전화번호, 연락처, 위치 정보 같은 걸 수집한다. 수집된 정보는 하드코딩한 AES 방식으로 암호화해 베이스64(Base64) 인코딩된다.
트렌드마이크로는 램섬웨어는 SMS 스팸 메시지나 악성 코드를 통해서나 혹은 이메일이나 웹사이트, 동영상이나 음악을 재생할 때 메시지 수신이나 파일 다운로드를 할 때 감염될 수도 있다면서 인터넷을 검색할 때 모르는 곳에서 메시지를 수신한다면 주의할 필요가 있다고 밝히고 있다.
또 만일 안드로이드 스마트TV와 셋톱박스가 랜섬웨어가 감염됐다면 제조사에 대책 방법을 문의하라고 권하고 있다. 또 명령 도구인 ADB(Android Debug Bridge)를 이용해 디버깅을 실행하면 악성 프로그램을 제거할 수 있다고 설명했다. 관련 내용은 이곳에서 확인할 수 있다.
| 2016년 6월 16일