안드로이드 기기를 암호화 시킬 뿐만 아니라 비밀 번호까지 변경해버리는 새로운 랜섬웨어 발견

New Ransomware Not Just Encrypts Your Android But Also Changes PIN Lock

보안 연구원들은 사용자들의 데이터를 암호화 시킬 뿐만 아니라, 비밀 번호를 변경해 그들의 기기를 잠그는 새로운 안드로이드 랜섬웨어를 발견했습니다.

DoubleLocker는 사용자가 그들의 스마트폰 기기와 상호작용 할 수 있는 대체 방법을 제공하는 안드로이드의 ‘Accessibility’ 기능을 악용한 첫 번째 랜섬웨어입니다.

연구원들은 “DoubleLocker의 뿌리는 뱅킹 멀웨어라는 점을 감안할 때, 이는 랜섬-뱅커로 둔갑할 가능성이 있습니다. 첫 단계에서 은행이나 PayPal 계정을 훔치려고 시도하고, 랜섬머니를 요구하기 위해 기기와 데이터를 잠그는 2단계 멀웨어일 수 있습니다.”고 밝혔습니다.

연구원들은 DoubleLocker 랜섬웨어가 단지 랜섬머니를 요구하는 것이 아닌, 후에는 뱅킹 크리덴셜을 훔치도록 업그레이드 될 수 있다고 추측했습니다.

올해 5월 처음 발견 된 DoubleLocker 안드로이드 랜섬웨어는 해킹 된 웹사이트 들에서 가짜 어도비 플래시 업데이트를 통해 배포 됩니다.

일단 설치 되면, 이 악성코드는 사용자에게 ‘Google Play Services’ accessibility 기능 활성화를 요청합니다.

Accessibility 권한을 얻은 후, 이 멀웨어는 기기의 관리자 권한을 얻기 위해 이를 악용해 자기 자신을 디폴트 홈 어플리케이션(런처)로 설정합니다. 이 모든 행동은 사용자가 알지 못하는 사이 이루어집니다.

연구원들은 “자기 자신을 디폴트 홈 어플리케이션(런처)로 설정함으로써 멀웨어의 지속성을 향상시킵니다. 사용자가 홈 버튼을 누를 때 마다 이 랜섬웨어가 활성화 되며, 기기는 다시 잠길 것입니다. Accessibility 서비스 덕분에, 사용자는 그들이 홈 버튼을 누를 때 마다 멀웨어를 실행시킨다는 사실을 알지 못할 것입니다.”고 말했습니다.

DoubleLocker가 실행 되면, 이는 먼저 기기의 비밀번호를 공격자도 모르는 랜덤 값으로 변경하고 어디에도 저장하지 않습니다. 또한 동시에 AES 암호화 알고리즘을 이용해 파일을 암호화합니다.

그리고 0.0130 비트코인(약 74.38USD)를 요구하며 이를 24시간 이내에 지불하라고 협박합니다.

랜섬머니가 지불 되면, 공격자는 파일의 잠금을 풀기 위한 복호화 키를 제공하고 원격으로 피해자의 기기의 비밀번호를 리셋합니다.

연구원들에 따르면, 아직까지 암호화 된 파일을 복호화 할 수 있는 방법은 없습니다. 하지만 루팅 되지 않은 기기들은 기기를 공장 초기화 하면 DoubleLocker 랜섬웨어를 제거할 수 있습니다.

디버깅 모드가 활성화 된 루팅 된 안드로이드 기기들은, Android Debug Bridge 툴을 사용하여 폰을 포맷하지 않고 비밀번호를 변경하면 됩니다.

현재 알약 안드로이드에서는 해당 악성코드에 대하여 Trojan.Android.Ransom로 탐지중에 있습니다. 

출처 : 

https://thehackernews.com/2017/10/android-ransomware-pin.html

https://www.welivesecurity.com/2017/10/13/doublelocker-innovative-android-malware/