안드로이드 랜섬웨어, 데스크탑 랜섬웨어의 기술 차용

안드로이드 랜섬웨어, 데스크탑 랜섬웨어의 기술 차용

Android Ransomware Borrows One More Trick from Desktop Counterparts

악명높은 Lockdroid 랜섬웨어가 데스크탑 악성코드에서 흔히 사용되는 새로운 기능을 추가했습니다. 이는 안드로이드 랜섬웨어에서는 지금까지 찾아볼 수 없었던 트릭으로 주목받고 있습니다.

새롭게 추가된 기능은 감염된 기기들을 스카우트하고, 결과에 따라 적절한 랜섬웨어 페이로드를 전달하는 드롭퍼 컴포넌트를 사용하는 방식입니다.

'드롭퍼'는 수년전부터 사용되어 왔습니다. 이는 기기 감염, 초기 발판 확보(부팅 후 지속성), 로컬 시스템 스캔 등 몇 가지 기능만으로 구성되었으며, 더욱 위험하고 덩치가 큰 악성코드를 다운로드하는 소형 악성코드 타입입니다. 드롭퍼는 아직까지 안드로이드 랜섬웨어에서 사용된 적이 없고, 주로 뱅킹 트로이목마, 백도어, RAT, 랜섬웨어와 많은 사이버 스파잉 및 APT 캠페인에 악용되었습니다.

범죄자들은 모바일 기기에서 드롭퍼를 거의 사용하지 않고 있습니다. 최근 들어 HummingBad와 같은 고급 애드웨어 패밀리를 더 흔하게 사용하고 있는 것으로 밝혀졌습니다.

Symantec에 따르면, 안드로이드 랜섬웨어 패밀리는 드롭퍼를 사용한 적이 없습니다. 그러나 며칠 전, Symantec의 연구원이 Lockdroid 랜섬웨어의 새로운 변종(Android.Lockdroid.E)가 드롭퍼를 사용하고 있는 것을 발견했습니다.

Lockdroid, 랜섬노트를 2D 바코드로 표시 해

연구원들은 Lockdroid의 운영자가 써드파티 앱스토어, SMS, 포럼 스팸으로 보내는 다운로드 링크를 통해 안드로이드 앱들에 드롭퍼를 숨긴다고 설명했습니다. 사용자가 악성앱을 설치할 경우, 이 드롭퍼는 두 가지 중 하나의 행위를 실행하기 전, 기본 점검을 수행합니다.

전문가들은 해당 드롭퍼가 사용자의 기기가 루팅되었는지 확인하는 것을 알아냈습니다. 만약 기기가 루팅되지 않았을 경우, 드롭퍼는 이미 부여된 권한을 사용하여 기기의 화면을 잠그고 랜섬 머니를 요구합니다. 사용자는 기기 스크린에 표시되는 2D 바코드를 통해 랜섬 머니를 지불할 수 있습니다.

 

<안드로이드 Lockdroid 랜섬 스크린>

출처 : 시만텍

두번째 시나리오는 Lockdroid가 루팅된 기기에 설치되었을 경우입니다. 해당 랜섬웨어는 루팅된 기기 사용자에게 관리자 권한을 요청합니다. 사용자가 이에 동의하도록 유도하기 위해 수천개 포르노 비디오에 대한 접근 권한을 주겠다고 설득합니다.

사용자가 이에 동의하면 Lockdroid 드롭퍼는 방금 얻은 루트 접근 권한을 이용해 실제 Lockdroid 랜섬웨어를 다운로드합니다. 이는 자기 자신을 코어 시스템 앱으로 설정하며 아래의 행위를 수행합니다.

- /system 파티션을 재마운트합니다.

- Android.Lockdroid.E가 assets 폴더에 포함한 임베디드된 APK 파일을 /system/app/[THREAT NAME].apk로 복사합니다.

- 드롭된 APK 파일의 권한을 실행 가능하도록 변경합니다.

- 랜섬웨어가 부팅될 때, 시스템 어플리케이션으로 실행하기 위해 기기를 재부팅합니다.

이 시점에서 랜섬웨어는 사용자의 장비를 잠그고 2D 바코드를 표시하지만, 이 경우 랜섬웨어가 루팅된 기기의 관리자 권한을 가지고 있기 때문에 기기를 reflash하지 않고 스크린 락을 제거하는 것은 거의 불가능하다고 볼 수 있습니다.

문제는 피해자가 바코드를 스캔하기 위해서 또 다른 휴대전화가 필요하다는 점입니다. 보통 피해자들은 친구에게 기기를 빌리느라 포르노 테마의 랜섬 지불 화면을 보여주는 것을 꺼리기 때문에 기기를 reflash하는 쪽을 택하고 있습니다.

현재 알약 안드로이드는 해당 악성코드를 Trojan.Android.Lockdroid로 탐지하고 있습니다.

출처 :

https://www.bleepingcomputer.com/news/security/android-ransomware-borrows-one-more-trick-from-desktop-counterparts/

http://www.symantec.com/connect/blogs/android-ransomware-repurposes-old-dropper-techniques