모바일 기기에서 직접 생성 되는 안드로이드 랜섬웨어 변종

모바일 기기에서 직접 생성 되는 안드로이드 랜섬웨어 변종

Android ransomware variants created directly on mobile devices

보안연구원들이 AIDE(Android Integrated Development Environment)를 이용하여 안드로이드 기기에서 개발된 이미 알려진 랜섬웨어 패밀리인 Android.Lockdroid.E의 변종을 발견하였습니다. 

현재까지 이 새로운 개발 기술은 적은 수의 안드로이드 랜섬웨어 그룹에만 국한되어 왔지만, 모바일 기기에서 랜섬웨어를 생성하는 기능이 랜섬웨어 제작의 새로운 길을 열어줄 것으로 보입니다. 

신속한 어플리케이션 개발RAD

랜섬웨어들은 RAD(Rapid Application development) 모델을 사용하여 개발됩니다. 이 방법은 신속한 프로토타입이 필요한 소프트웨어에서 주로 사용되며, 유저 인터페이스 요구사항에 의해 만들어집니다. 이는 GUI(그래픽 유저 인터페이스) 의존도가 큰 모바일 어플리케이션을 개발하는데 매우 적합한 개발방법 입니다. 

모바일 기기에서의 랜섬웨어 개발

일반적으로 안드로이드 앱을 개발할 때에는 컴퓨터 기반의 소프트웨어를 사용합니다. 이는 개발자가 안드로이드 앱을 개발하기 위해서는 컴퓨터가 필요하다는 말입니다. 하지만 AIDE의 경우, 공격자들은 IDE를 이용하여 모바일 기기에서 직접 Android.Lockdroid.E의 변종을 설계, 빌드, 실행, 수정 및 서명을 할 수 있습니다. 이 변종들은 코드 짜투리 부분에 AIDE를 사용하여 개발되었다는 표시가 되어 있습니다. 

 

랜섬웨어의 개발을 할 때 AIDE를 사용하는 이유가 무엇일까요?

공격자들은 랜섬웨어를 개발할 때 코드를 유연하게 재빨리 수정할 수 있고, 이동성이 좋은 AIDE의 장점을 이용합니다. 예를 들어 기존의 소스로부터 새로운 변종을 만들고 싶은 초보 개발자의 경우, 그냥 기기에서 코드 몇 줄만 수정하는 것으로 새로운 변종을 만들어 낼 수 있습니다. 또한 고급 개발자의 경우에는 노트북 없이도 언제 어디서나 랜섬웨어를 제작할 수 있는 것입니다. 

모바일에서 개발 된 랜섬웨어의 발견

Lockdroid.E의 변종은 중국에서 스팸 이메일이나 브라우저 하이재커들을 통해 배포되어왔습니다. Lockdroid.E는 다른 일반적인 랜섬웨어들과 비슷한 기능을 가집니다. 이 랜섬웨어가 기기에 설치되면, 사용자의 기기가 잠겼다는 메세지가 뜨며, 잠금을 해제하고 싶을 경우 중국 메신저 QQ를 통해 공격자에게 연락하라고 요구합니다. 피해자들은 기기의 잠금을 해제하려면 공격자에게 랜섬머니를 지불해야 합니다. 

지금까지의 악성코드들이 기존 코드를 변조하여 변종으로 재탄생 되는 것은 새로운 일이 아닙니다. 하지만, 공격자들이 RAD 방법론 도입을 통하여 악성코드를 제작하는데 더욱 빠르고 유연한 방법들을 시도한다는 것을 보여줍니다. 

알약에서는 현재 해당 악성코드들에 대하여 Trojan.Android.Ransom.Koler, 

Trojan.Android.Ransom.Slocker로 탐지중에 있습니다.

출처 : 

http://www.symantec.com/connect/blogs/android-ransomware-variants-created-directly-mobile-devices