상세 컨텐츠

본문 제목

모든 안티바이러스 프로그램에서 탐지되지 않는 새로운 안드로이드 랜섬웨어 발견

국내외 보안동향

by 알약(Alyac) 2017. 4. 3. 16:06

본문

모든 안티바이러스 프로그램에서 탐지되지 않는 새로운 안드로이드 랜섬웨어 발견

New Android Ransomware Goes Undetected by All Antivirus Programs


새로운 타입의 안드로이드 랜섬웨어가 발견되었습니다. 어떠한 백신도 이를 탐지하지 못해 충격을 주고 있습니다.


보안 연구원들은 러시아의 엔터테인먼트 소셜 네트워크 앱인 'OK' 라는 인기 앱에서 이 새로운 랜섬웨어를 발견했습니다. 해당 앱의 정식버전은 구글 플레이 스토어에서 내려받을 수 있으며, 약 5000만~1억 건의 다운로드 수를 기록하고 있습니다. 또한 정식버전은 어떠한 악성코드도 포함하고 있지 않았습니다. 


이번 랜섬웨어가 포함된 앱은 써드파티 스토어에서 발견된 것입니다. 


이 랜섬웨어는 사용자가 안전하다고 느낄 수 있도록 앱을 설치하면 4시간 동안 전화기능 뿐만 아니라 앱까지 정상적으로 동작하도록 허용합니다. 하지만 4시간이 지나면 화면 잠금해제 패스워드를 변경하고, 화면잠금 해제 시도를 모니터링합니다. 또한 화면을 잠그고 화면잠금 패스워드 제한을 설정하기 위해 사용자에게 기기 어드민 권한을 요청합니다. 


물론 이러한 행위는 매우 의심스럽기 때문에 사용자들은 대부분 "취소"를 누릅니다. 


그러나 이 프롬프트 창은 매우 빨리 다시 나타나기 때문에 사용자들이 다른 액션을 취하거나 앱을 삭제할 수 없도록 합니다. 만약 사용자가 어드민 권한을 부여할 경우, 화면에 랜섬노트가 표시되며 $9 정도인 500루블을 랜섬머니로 요구합니다. 


분석 결과, 이 랜섬웨어는 실제로 사용자의 데이터를 서버로 보내지 않으며, 사용자의 폰 잠금 역시 해제할 수 없는 것으로 밝혀졌습니다.


이는 공격자에게 돈을 지불한다 해도 랜섬웨어는 동작을 멈추지 않을 것이며, 피해자가 전화 기능을 사용할 수 없게 된다는 의미입니다. 해당 악성앱은 사용자가 랜섬머니를 지불했는지 여부를 확인할 수 있는 기능이 없으며 지불을 하더라도 계속 동작합니다. 



스텔스 기능으로 안티 바이러스 프로그램 회피 가능


보안 연구원들은 이 악성코드가 공식 구글 플레이 스토어의 정식 등록된 앱에 쉽게 삽입될 수 있다고 밝혔습니다. 4시간의 스텔스 전략으로 인해 안티바이러스 프로그램들이 이를 탐지해낼 수 없기 때문입니다. 


해당 랜섬웨어에 감염되었다고 하더라도, 랜섬머니를 지불하는 것으로 문제를 해결할 수 없으니 이 점 깊이 주의를 당부 드립니다. 대신 써드파티 앱들을 비활성화시키기 위해 기기를 안전모드로 부팅해야 합니다. 이후 해당 랜섬웨어 앱의 어드민 권한을 제거하고, 이를 삭제한 후 기기를 일반 모드로 재부팅하면 됩니다. 


랜섬웨어에 대응하기 위한 가장 좋은 방법은 알 수 없는 출처로부터 앱을 설치하지 않는 것입니다. 따라서 스마트폰의 보안 설정에서 ‘알 수 없는 출처 에서 다운로드 허용'을 비활성화하는 것을 간곡히 권고 드립니다. 


한편, 알약에서는 해당 악성앱에 대하여 Trojan.Android.Ransom.Slocker라는 이름으로 탐지 및 치료하고 있습니다







출처 :

http://news.softpedia.com/news/new-android-ransomware-goes-undetected-by-all-antivirus-programs-514440.shtml

https://www.zscaler.com/blogs/research/new-android-ransomware-bypasses-all-antivirus-programs

관련글 더보기

댓글 영역