다시 돌아온 Lucy 악성코드, 랜섬웨어 기능 등 추가하고 FBI 벌금 테마 사용

Lucy’s Back: Ransomware Goes Mobile

‘FBI가 파일을 암호화했으며, 복구를 원할 경우 돈을 지불하라’고 주장하는 새로운 랜섬웨어 변종이 안드로이드 스마트폰을 감염 시키고 있는 것으로 나타났습니다.

Black Rose Lucy 랜섬웨어는 지난 2018년 말 처음 등장했습니다. 

이 랜섬웨어의 개발자들은 지속적으로 코드를 발전시켜 이제는 파일 암호화 기능까지 추가했으며, 감염된 기기를 제어하여 설정을 변경하고 다른 악성코드 설치까지 가능한 것으로 나타났습니다.

Check Point의 연구원들은 Lucy의 새로운 기능에 대한 자세한 정보를 발표했습니다. 

연구원들은 이 랜섬웨어의 샘플이 소셜 미디어 링크와 메신저 애플리케이션에서 배포되고 있는 것을 발견했습니다.

기기가 감염되면, 이 악성코드는 사용자들에게 ‘스트리밍 비디오 최적화’를 활성화할 것을 묻는 메시지를 표시합니다. 

그리고 사용자가 이에 동의하면, Lucy가 접근성 서비스를 이용하도록 권한을 부여하게 됩니다.

랜섬웨어는 이 안드로이드의 접근성 서비스의 자동화된 기능을 악용하여 기기에서 활성화되며, 피해자에게 랜섬노트를 표시합니다.

랜섬노트는 FBI를 가장하여 사용자가 성인용 콘텐츠를 다운로드했기 때문에 기기가 잠금상태가 되었다고 주장합니다.

그리고 피해자의 사진, 위치를 포함한 정보가 그들이 저지른 범죄 목록과 함께 ‘FBI 사이버 범죄 부서 데이터 센터‘에 업로드되었다고 주장하고 있었습니다. 

또한 이로 인해 사용자는 벌금 $500을 지불해야 한다고 적혀있었습니다.

물론, FBI는 협박 목적으로 일반 사용자의 기기를 암호화하지 않으며 인터넷을 통해 벌금을 부과하지도 않습니다.

하지만 Lucy는 비트코인을 통해 지불을 받는 보통 랜섬웨어와는 달리 신용카드 정보를 입력할 것을 강요합니다.

신용카드 정보를 공격자에게 제공할 경우, 공격자는 이 정보를 활용한 추가 사기를 저지를 수 있습니다.

또한 Lucy는 피해자의 기기를 제어하고 설정을 변경해 추가 악성코드를 설치할 수 있는 기능을 포함하고 있기 때문에 피해는 더욱 막대합니다.

즉, 피해자가 랜섬머니를 지불하고 기기에 다시 접근할 수 있게 된다고 하더라도, 악성코드는 사라지지 않은 채 여전히 백그라운드에서 활동하며 공격자가 원할 때 언제든 다른 악성 활동을 수행할 수 있습니다.

연구원들은 Lucy가 러시아의 사이버 범죄 언더그라운드 마켓에서 ‘서비스 형태’로 제공되는 것으로 추측했습니다. 

또한 이 캠페인이 여전히 진행 중일 가능성이 높으며, 사용자들에게 파일을 다운로드 시 각별히 주의를 기울일 것을 당부했습니다.

“소셜 미디어에서 영상을 보실 때, 기능을 허가하거나 활성화하기 위한 클릭 요구에 응하기 전 두 번 생각하시기 바랍니다. 또한 보안을 위한 프로그램을 기기에 설치하시고, 공식 앱 스토어만 사용하시기 바랍니다. OS와 앱을 항상 최신 상태로 유지하여 보안을 강화하시기 바랍니다.”

현재 알약M에서는 해당 악성코드 샘플에 대해 'Trojan.Android.Ransom.Rucy'으로 탐지 중에 있습니다.

출처:

https://www.zdnet.com/article/this-android-ransomware-claims-to-hit-you-with-a-fine-from-the-fbi-and-thats-not-the-only-threat-it-delivers/

https://research.checkpoint.com/2020/lucys-back-ransomware-goes-mobile/