워너크라이 랜섬웨어 화면으로 위장한 모바일 랜섬웨어 등장

티스토리 메뉴 펼치기 댓글수1

악성코드 분석 리포트

워너크라이 랜섬웨어 화면으로 위장한 모바일 랜섬웨어 등장

알약(Alyac)
댓글수1

워너크라이 랜섬웨어 화면으로 위장한 모바일 랜섬웨어 등장


안녕하세요. 이스트시큐리티입니다.

최근 중국에서 千变语音(음성변경), 千变语音秀(음성변화 쇼), 主流影视大全(주요 영화 및 TV) 등의 이름으로 위장한 모바일 랜섬웨어가 확인되어 이용자들의 주의를 당부 드립니다.


[그림 1] 모바일 랜섬웨어 설치 화면


이번에 발견된 모바일 랜섬웨어는 올해 5월경, 전세계적으로 이슈가 되었던 워너크라이(WannaCry) 랜섬웨어의 결제화면을 이용하고 있습니다. 


[그림 2] 모바일 랜섬웨어 감염 화면


[그림 3] 랜섬웨어에 감염된 단말기 화면


공격자는 피해자에게 암호화된 파일을 복호화하려면 20위안(한화 약 3,300원)을 Alipay, WeChat, QQ로 결제해야 한다고 협박합니다. 


[그림 4] 지불 수단 안내 메시지


해당 랜섬웨어에 감염되면 스마트폰 내 파일이 암호화되면서 확장자가 ‘勿卸载软件解密加QQ(숫자)bahk(숫자)’로 변경됩니다.


[그림 5] 암호화된 파일


특히, 감염자가 특정 키 버튼을 누르거나 화면에서 빠져나가면 'Please do not quit the software, or the file may never be recovered!'라는 메시지의 경고 토스트(Toast)를 띄우는 점도 주목할만 합니다.


[그림 6] 경고 토스트를 띄우는 코드


국내에서는 아직까지 모바일 랜섬웨어와 관련된 큰 이슈가 발견되지 않았습니다. 그러나 모바일 사용자가 공격에 노출될 가능성은 얼마든지 있기에, 안드로이드 이용자들은 모바일 보안 수칙을 통해 유사 공격에 피해를 입지 않도록 각별히 주의하시기 바랍니다.


※ 관련 글

 - 스마트폰에도 백신이 필요한가요? 모바일 보안, 우리가 꼭 지켜야 할 몇가지 (▶바로가기)


한편, 스마트폰 보안 앱 '알약 안드로이드'에서는 관련 앱을 'Trojan.Android.Ransom.Wannacry'로 진단하고 있습니다.






맨위로

https://blog.alyac.co.kr/1140

신고하기