포스팅 내용

국내외 보안동향

[해외보안동향] 안드로이드 크립토락커 Koler.A 성행중

최근 미국에서 안드로이드 사용자를 타겟으로 하는 안드로이드 크립토락커 Koler.A가 성행하고 있습니다. 


해당 악성코드는 가짜 포르노 사이트로 위장한 사이트를 통하여 apk형태로 유포되고 있습니다. 이러한 수법에 당한 사용자들은 스스로 악성코드에 감염된 apk를 자신의 휴대폰에 설치합니다. 해당 악성앱(BaDoink로 위장)은 설치하는 과정에서 많은 권한들을 요구하며, 설치된 후에는 사용자의 기기를 원하는 대로 조종합니다.



안드로이드 크립토락커 Koler.A 악성앱 경고창 화면


안드로이드 크립토락커 Koler.A 악성앱에 감염되면, 약 2초 마다 'Attention! Your phone has been blocked up for safety reasons listed below. All the actions performed on this phone are fixed. All your files are encrypted. CONDUCTED AUDIO AND VIDEO' 라는 경고메시지를 띄웁니다. 또한 아동포르노 확산방지와 관련된 세계규약을 어겼다는 메시지와 함께 해당 앱을 삭제하려면 300달러를 지불해야 한다고 협박하고 있습니다.


위와 같은 경고창은 사용자의 GPS정보를 기반으로 띄워집니다.


악성앱(BaDoink로 위장)이 권한을 요구하는 화면과 알약이 악성앱을 탐지하는 화면


해당 악성앱은 지속적으로 팝업창을 띄워 사용자가 정상적으로 스마트폰을 사용할 수 없도록 합니다. 다행인 것은 팝업창에서 보여지는 메시지와는 달리, 스마트폰 관련 파일들은 암호화가 이뤄지지 않습니다. 따라서, Windows에서 동작하는 크립토락커와는 다르게  안드로이드 크립토락커 앱 제거는 그리 어렵지 않습니다. 안드로이드 크립토락커 Koler.A는 모바일 백신을 이용하여 삭제가 가능하며, 안전모드로 들어가서 제거할 수도 있습니다. 

 

알약에서는 해당앱을 Trojan.Android.Ransom.Koler로 탐지 중입니다.



관련 자료 및 이미지 출처 :

http://labs.bitdefender.com/2014/05/reveton-icepol-ransomware-moves-to-android/


티스토리 방명록 작성
name password homepage