90년대 생 청소년들의 공격: 모바일 랜섬웨어 거래에 가담하고 있는 중국의 청소년들

게시일: 2015-06-10 l 작성자: Veo Zhang (Mobile Threats Analyst)

새로운 형태의 사이버범죄가 중국에서 출현하였습니다. 이들은 숙련된 베테랑 범죄자들보다 더 대담하고 난폭합니다. 90년대 생인 이 어린 범죄자들은 체포를 두려워하지 않으며 추적 가능한 연락처를 온라인 상에 남기고 있습니다. 이들은 사용 가능한 코드들을 찾아서 지속적으로 공유하며 이를 이용하여 독자적인 멀웨어를 제작하는데 이들이 바로 중국 지하 경제 시장에서 모바일 랜섬웨어의 붐을 일으키고 있는 십대 청소년들입니다.

젊어진 모바일 랜섬웨어 환경

이렇듯 사이버범죄의 세계로 발을 들이는 어리고 난폭한 사이버범죄자들이 증가한 것은 아마도 현행법의 솜방망이 처벌과 십대들의 만용으로 인한 것일 것입니다.

우리는 특정 안드로이드 랜섬웨어인 ANDROIDOS_JIANMO.HAT을 감시하던 중 이러한 새로운 사이버범죄를 확인할 수 있었습니다. 이 변종은 화면을 잠그고 사용자 활동을 제한하여 사용자가 자신의 장치에 액세스할 수 없도록 만듭니다.

우리는 지하 경제 시장에서 이 멀웨어의 수천 가지 변종들을 찾아냈습니다. 이러한 변종들 중 대략 250개에는 연락처와 나이 등을 포함한 멀웨어 제작자에 대한 정보가 포함되어 있었는데 이들의 나이는 16에서 21세였습니다.

그림 1. 나이(마지막 줄)를 비롯한 멀웨어 제작자의 QQ (중국 메시징 서비스) 계정 프로필

이 변종들을 살펴보면, 모두 지하 경제 포럼을 통해 널리 유포된 하나의 소스 코드에서 파생된 것임을 알 수 있습니다. 아래의 그림에서는 두 가지 버전의 랜섬웨어 잠금 화면을 볼 수 있습니다. 좌측의 오리지날 버전에는 농담이 적힌 텍스트 필드가 있습니다. 우측의 수정된 버전에는 랜섬웨어 피해자들이 공격자들에게 연락하는데 이용할 수 있는 정보가 들어있습니다. 이 경우 공격자가 QQ 그룹 계정을 남겨두었습니다.

그림2. 우측 멀웨어에는 붉은색 부분에 “장치를 잠금해제하려면
QQ 그룹 계정[번호]로 연락하지 마시오”라고 적혀있습니다.

오리지널 버전은 비용 지불에 관한 정보가 들어있지 않기 때문에 시제품에 지나지 않았지만 코드가 지하 경제에 유포된 이후로는 랜섬웨어 변종의 기반이 되었습니다. 십대 사이버범죄자들은 여기에 자신의 연락처만 입력하면 됩니다.

현재, 이 사이버범죄자들은 미화 5달러에서 10달러 가량의 비용을 요구하고 있습니다. 다른 랜섬웨어 변종에 비하면 저렴해 보이지만 앞으로는 더 많은 금액을 요구할 가능성이 높으며 피해자가 많기 때문에 굳이 많은 금액을 요구하지 않는 것일 수도 있습니다.

감염 전파

앞에서 언급한 바와 같이 중국 사이버범죄 지하 경제는 여러 가지 교육 서비스를 제공하고 있습니다. 이른바 사부가 제자를 키우는 방식으로 자신의 해킹 지식 등을 전수합니다. 십대들 역시 동일한 수순을 밟고 있습니다. 이들은 랜섬웨어 활동 외에 개인지도 서비스도 제공하고 있습니다.

그림3. 멀웨어 개인 지도를 광고하는 포럼 게시글

이 사이버범죄자들은 2가지 방법으로 자신의 멀웨어를 유포합니다. 먼저 이들은 공개 포럼을 돌아다니며 앱 추천을 할 수 있는 게시판을 찾습니다. 그리고 앱 추천을 할 때 멀웨어로 안내하는 링크를 게시합니다. 그리고 이러한 멀웨어 강사들은 “수업료” 대신에 제자들로 하여금 멀웨어를 유포하도록 합니다.

그림4. 앱 추천을 통한 멀웨어 유포

우리는 이러한 모험을 시작한 청소년 몇 명을 조사하였습니다. 첫 번째 대상은 JIANMO 멀웨어를 처음 제작한 중국의 19세 청소년인데 JIANMO 멀웨어에서 시작하여 지금은 다른 랜섬웨어를 제작하고 있습니다. ANDROIDOS_BZY.HBT로 명명된 그의 신종 멀웨어는 장치 관리자 잠금과 같은 기능들을 제공하며 장치를 효과적으로 제어합니다. 피해자들은 비용을 지불해야 잠금을 해제할 수 있다는 텍스트 메시지를 받게 될 것입니다. 현재 이 멀웨어를 삭제할 수 있도록 도와달라는 온라인 게시글이 수백 건에 달하고 있습니다.

그림5. 19세의 랜섬웨어 제작자의 QQ 프로필, “원격으로 잠금해제 해드립니다”라는 서명(위)과
“안드로이드 성능 부스터”(아래)로 위장한 그의 최신 멀웨어가 포함되어 있습니다.

우리는 유사한 비즈니스를 하는 또 다른 멀웨어 제작자를 발견했습니다. 이 제작자는 제자 집단을 이끌며 멀웨어 제작을 가르치고 이 그룹을 이용하여 자신의 멀웨어를 유포하고 있습니다. 아래의 그림은 이 그룹의 QQ 프로필입니다. 여기에는 이 그룹이 중국 시안에 있음을 알 수 있는 정보가 들어있으며 그룹원에 대한 세부 정보도 포함되어 있습니다. 예를 들어 그룹원의 79%가 남성이며 6%가 시안에 거주하고 있고 62%가 90년대 생입니다.

그림6. 수강생의 62%가 90년대 생인 멀웨어 제작 및 유포 집단, “스터디 그룹”

그림7. 그룹이 내부적으로 공유하는 멀웨어

개인 정보 노출

앞서 언급한 바와 같이 이 사이버범죄자들은 자신의 발자취를 감추는 데에 크게 신경을 쓰지 않습니다. 이들은 종종 피해자들과 접촉하기 위해 QQ계정뿐 아니라 자신의 IM 계정을 사용하곤 합니다. QQ 계정은 그들의 개인 정보이며 따라서 그들의 신분을 알아낼 수 있다는 것을 의미합니다. QQ 프로필에 게시하는 정보는 얼마든지 가짜로 기재할 수도 있지만 다른 사이버범죄 활동에 연루된 청소년들을 보면 대부분이 19세인 경우가 많았습니다.

우리는 ANDROIDOS_GREYWOLF.HBT로 명명된 모바일 랜섬웨어에 사용된 이메일 계정에 액세스할 수 있었습니다. 이 랜섬웨어는 앞서 소개한 “스터디 그룹”의 제작자가 만든 것이었습니다. 이는 사랑 고백 앱으로 가장하여 사용자들이 멀웨어를 다운로드받고 이를 실행하도록 유도합니다. 이는 임의의 시리얼 번호와 잠금 키 쌍(key pair)을 생성하고 이를 제작자의 이메일로 다시 전송합니다. 이는 제작자가 이메일 계정과 암호를 멀웨어 내에 삽입해 놓았기 때문에 가능하였습니다.

그림8. 피해자의 장치에서 전송된 랜섬웨어 시리얼 번호와 잠금 코드

그림9. 피해자와 주고 받은 거래 이메일 샘플

그리고 이들은 Alipay, WeChat 및 은행 송금을 통한 비용 지불을 선호합니다. 이는 불법 활동을 감추기 위해 비밀통화를 사용하는 오늘날의 추세를 그대로 보여주고 있습니다.

보안 관행

올해 초부터 지금까지 우리는 20가지 이상의 신종 모바일 랜섬웨어 패밀리를 발견하였으며 하나의 멀웨어로부터 1000가지 이상의 버전과 파생물들이 만들어지고 있습니다. 즉 사용자들이 온라인 상에서 랜섬웨어를 만나게 될 가능성이 매우 커진 것입니다.

멀웨어가 아닌 합법적인 앱을 다운로드 받으려면 공식 앱 스토어와 개발자 웹사이트만 이용해야 합니다. 포럼의 앱 추천 게시판에 물어보는 것도 괜찮지만 게시글에 포함된 링크는 클릭하지 마십시오. 낯선 사람이 게시한 링크를 이용하는 것보다는 앱을 직접 검색해 보는 것이 좋습니다.

앱을 다운로드 받기 전에 개발자가 누구인지 이중으로 조사하고 앱 리뷰를 꼼꼼하게 살펴보고 앱의 안전성을 확인해야 합니다. 트렌드마이크로 모바일 시큐리티(Trend Micro Mobile Security)와 같은 장치 내 보안 솔루션은 이와 같은 위협들을 차단하는 부가적인 보호 계층이 될 수 있습니다.

Lion Gu가 제공한 정보

다음은 상기에 언급된 모바일 랜섬웨어와 관련된 SHA1 해쉬들입니다.

ANDROIDOS_JIANMO.HAT

  • 6828d9e301b190c5bbf7b6c92627ebf45a898f0f
  • b2c1b0738fbfb21c1905322d434c5958be889e73
  • c600fc7b3828f2dbbbac46a290390a50c0c605f9
  • d0af92d32f35ea6ce10bbab5e350cbccc1360f86

ANDROIDOS_GREYWOLF.HBT

  • 007830d17abf70b4e5d2194f3aa1a628cb4a70f2
  • f3c1cf6b96c1eb92f43dda545575d2b4a15af6a7

ANDROIDOS_BZY.HBT

  • 3d0e995d4a795ab4c59b4285f62c4c4585c11fa6
  • 4da1062ededceb523a886690515b48167b608753
  • 65c66561ad8b5c719d6a9b6df6d9025048a8057b

원문: Attack of the 90s Kids: Chinese Teens Take On the Mobile Ransomware Trade