포스팅 내용

국내외 보안동향

코로나19 접촉자 추적 조사 앱으로 위장한 새로운 안드로이드 랜섬웨어 발견

New ransomware masquerades as COVID-19 contact-tracing app on your Android device


코로나 바이러스 팬데믹 상황을 악용한 새로운 랜섬웨어 변종이 배포되고 있습니다.


ESET 연구원들은 이 랜섬웨어가 캐나다 정부(Health Canada)에서 접촉자 추적 조사 앱인 ‘COVID Alert’를 개발하겠다고 발표한지 단 며칠 후부터 시작되었다고 밝혔습니다.


공식 앱은 최소 다음 달 초 사용자들에게 공개될 예정이었지만 사이버 공격자들은 이러한 정부 발표를 악용하여 캐나다의 공식 코로나19 접촉자 추적 조사 앱으로 위장한 악성 안드로이드 앱을 배포하기 시작했습니다.


ESET은 Health Canada의 추정 앱으로 위장한 악성 앱이 웹사이트 2곳에서 배포되었다고 밝혔습니다. 


하지만 현재는 이용 불가 상태인 도메인 2곳인 racershield[.]ca 및 covid19tracer[.]ca는 다운로드 및 설치될 경우 안드로이드 기기에 CryCryptor 랜섬웨어를 설치하는 APK를 호스팅하고 있었던 것으로 나타났습니다.


연구원들은 트위터 사용자 @ReBensk의 트윗을 통해 이 랜섬웨어를 발견했습니다. 


이 트윗은 해당 APK가 뱅킹 트로이목마를 숨기고 있다고 경고했지만 추가 조사 결과 이 악성코드는 랜섬웨어로 밝혀졌습니다.


안드로이드 사용자가 위 도메인으로부터 APK를 다운로드 후 설치하면 악성코드는 파일에 대한 접근 권한을 요청하고 .PNG를 포함한 특정 확장자가 붙은 파일을 암호화하기 시작합니다.


파일은 AES 및 문자 16개로 이루어진 키를 사용하여 암호화되며, 암호화가 완료되면 .ENC 확장자가 붙습니다. 


암호화된 파일이 존재하는 폴더마다 랜섬머니를 요구하는 텍스트 파일이 생성됩니다.


ESET은 이 버전에 대한 복호화 툴을 만드는데 성공했으며 GitHub에 공개했습니다.


랜섬웨어는 MITRE의 “부적절한 안드로이드 컴포넌트 내보내기”(CWE-926) 버그를 악용함으로써 이러한 공격이 가능했습니다.


연구원들은 이 랜섬웨어가 저장된 GitHub을 발견할 수 있었습니다. 이 랜섬웨어의 소스는 6월 11일부터 공개된 상태였습니다. 


ESET은 개발자가 이 오픈소스 악성코드를 CryDroid로 명명했으며 연구 프로젝트로 위장한 상태였다고 밝혔습니다.


“이 프로젝트가 연구 목적이라는 주장에 동의할 수 없습니다. 책임감 있는 연구원은 악성 목적으로 쉽게 악용될 수 있는 툴을 절대 공개하지 않을 것이기 때문입니다.”


현재 알약M에서는 해당 악성코드 샘플에 대해 'Trojan.Android.Agent'으로 탐지 중에 있습니다.





출처:

https://www.zdnet.com/article/new-crycryptor-ransomware-masquerades-as-covid-19-contact-tracing-app-on-your-device/

https://www.welivesecurity.com/2020/06/24/new-ransomware-uses-covid19-tracing-guise-target-canada-eset-decryptor/

티스토리 방명록 작성
name password homepage