FLocker 랜섬웨어, 스마트TV를 노리다

게시일: 2016-06-15 l 작성자: Echo Duan (Mobile Threat Response Engineer)

하나의 플랫폼으로 여러 스마트 디바이스를 사용할 수 있는 것은 삶에 편리성을 가져다 줍니다. 하지만 이 경우, 멀웨어가 1대의 디바이스에 침투하면, 동일한 플랫폼을 공유하는 다른 디바이스도 감염되기 쉽습니다. 최근 유행하는 “FLocker” 랜섬웨어가 이와 같은 경우입니다. 해당 랜섬웨어는 안드로이드 운영체제의 모바일 디바이스를 공격하는 화면잠금형 랜섬웨어이지만, 안드로이드 스마트TV도 감염시킬 수 있습니다.



그림 1. TV 랜섬웨어 화면

2015년 5월, FLocker 랜섬웨어(ANDROIDOS_FLOCKER.A로 명명, Frantic Locker의 줄임말)가 처음 발견된 시기부터 트렌드마이크로 클라우드 보안센터에서는 약 7,000여종의 FLocker 변종이 수집되었습니다. 해당 랜섬웨어의 개발자는 탐지를 우회하고 암호화 기능을 향상하기 위해 지속적으로 멀웨어를 재작성하고 있는 것으로 보여집니다. 지난 몇 달 동안 새로운 FLocker 변종의 출현이 급증과 급감을 반복하였으며, 최근 2016년 4월에 약 1,200개의 변종이 확인되었습니다.

가장 최근 버전의 FLocker는 폴리스 트로이목사(Police Trojan)로서 미국 사이버경찰(US Cyber Police) 또는 다른 법률 기관으로 위장하여, 피해자가 범하지 않은 혐의를 제기합니다. 화면잠금이 완료되면 미화 200달러 상당의 아이튠즈 기프트카드를 벌금으로 지불할 것을 요구하는 화면을 띄우게 됩니다. 트렌드마이크로의 분석에 따르면 모바일 기기를 감염시키는 변종과 스마트TV를 감염시키는 변종에는 큰 차이점이 없습니다. 하단은 당사의 FLocker 루틴에 대한 분석입니다.

FLocker는 정적분석을 우회하기 위해 [asset] 폴더 내부의 raw 파일에 코드를 숨깁니다. 해당 코드는 정상적인 파일로 보이는 “form.html” 파일을 생성합니다.

그림 2. FLocker 정적분석 우회 기능

이렇게 함으로써, “classes.dex” 코드에서 악성행위가 발견되지 않기 때문에 정적분석을 우회할 수 있게 됩니다. “form.html”은 멀웨어가 동작할 때 암호 해제되어 악성코드를 실행합니다.

그림 3. Classes.dex코드(위)와 from.html 코드 암호 해제(아래)

FLocker가 처음 실행될 때 감염된 디바이스가 다음의 동부 유럽 국가에 위치해 있는지 확인합니다: 카자흐스탄, 아제르바이잔, 불가리아, 조지아, 헝가리, 우크라이나, 러시아, 아르메니아, 벨라루스. 만약 디바이스가 앞서 언급된 국가 중 하나에 위치해 있는 것으로 확인될 경우, 멀웨어가 자동으로 비활성화 됩니다.

FLocker는 디바이스에 침투한 후 30분 동안 아무 활동을 하지 않으며, 30분이 지난 후에 디바이스 관리자 권한을 즉시 요청하는 백그라운드 서비스를 실행합니다. 당사는 이러한 행위를 동적 샌드박스 탐지를 우회하기 위한 기술로 파악하고 있습니다. 만약 사용자가 관리자 권한 부여를 거부할 경우, 시스템 업데이트처럼 위조하여 화면을 멈춥니다.

그림 4. 일부 국가에서 공격이 실행되지 않는 FLocker

FLocker는 백그라운드에서 C&C서버로 연결되어 명령을 내려받습니다. 이 때 C&C에서 misspelled.apk라는 새로운 페이로드를 전달하고, 자바스크립트 인터페이스의 랜섬 HTML(“form.html”)이 활성화 됩니다. 해당 HTML 페이지는 APK 설치를 시작할 수 있는 기능이 있으며, 자바스크립트 인터페이스를 활용하여 감염된 피해자의 디바이스로 사진을 촬영하여 랜섬 페이지에 표출시킵니다.

랜섬 웹페이지는 감염된 디바이스에 맞추어 해상도를 변경하는 것으로 확인되었습니다.

그림 5. FLocker 랜섬 페이지 캡처 화면

화면은 잠금되었지만, 멀웨어는 C&C 서버와 통신하며 디바이스 정보, 전화번호, 연락처, 현위치 등과 같은 정보를 탈취합니다. 이러한 데이터는 하드코딩 AES 키로 암호화 되어 base 64로 인코딩됩니다.

그림 6. C&C 서버로 전달되는 정보

이러한 랜섬웨어는 스팸 문자메시지 또는 악성 링크를 통해 전달됩니다. 따라서 인터넷을 탐색하거나 알 수 없는 출처로부터 메시지 또는 이메일을 받았을 때 각별한 주의가 필요합니다.

트렌드마이크로의 대응

안드로이드TV가 감염된 경우 될 경우, 제조사에 연락하여 해결 방법을 문의할 것을 권고합니다. 멀웨어를 제거하기 위한 다른 방법은, 사용자가 ADB 디버깅을 활성화 하는 것입니다. PC에 디바이스를 연결하여 ADB 쉘을 활성화한 뒤 “PM clear %pkg%”를 실행할 수 있습니다. 이 경우 랜섬웨어 프로세스를 중단하고 화면잠금이 해제될 수 있습니다. 사용자는 또한 애플리케이션에 부여된 관리자 권한을 비활성화하고 앱을 삭제할 수 있습니다.

트렌드마이크로는 모바일 디바이스를 보호하기 위해, 스마트 디바이스에 보안 소프트웨어를 설치할 것을 권고합니다. 트렌드마이크로 모바일 시큐리티는 악성 앱 및 기타 경로를 통해 디바이스에 침투하는 랜섬웨어와 같은 모바일 위협으로부터 사용자를 보호합니다. 해당 앱은 Google Play에서 다운로드 받으실 수 있습니다.


원문: FLocker Mobile Ransomware Crosses to Smart TV