모바일로 확산되는 '랜섬웨어'의 위협

게시일: 2016-03-22 l 작성자: Katsuyuki Okamoto (Security Evangelist)

모바일 악성 애플리케이션의 랜섬웨어 위협은 2014년에 시작되었습니다.

2013년 Android용 가짜 백신의 형태로 ‘단말기 잠금형 랜섬웨어’가 배포되어, 화면 잠금 등 단말기를 사용하지 못하도록 하는 불법 활동이 확인된 바 있습니다. 하지만, PC와 유사한 형태의 랜섬웨어 모바일 버전이 처음 확인된 것은 2014년 5월이었습니다.

Android에서 활동하는 랜섬웨어 “ANDROIDOS_LOCKER.HBT“는 “Sex Xonix “라는 게임으로 위장하여 타사 마켓에서 배포되었습니다. 해당 앱을 실행하면 러시아어 (키릴 문자) 메시지를 표시하고 ‘단말기 잠금형 랜섬웨어’ 활동이 시작됩니다. “러시아 연방 국방 법 1252 조에 따라 휴대 단말기가 잠금되었다. 해제하려면 1000 루블을 지불하라” 는 메시지가 생성되며, 가짜 집행 기관이 금전을 요구하는 '폴리스 랜섬'의 체계로 되어 있었습니다.

또한 단말기의 내외부 저장소에 있는 사진, 동영상, 문서 등의 파일을 암호화하고 사용할 수 없게 하는 ‘암호화 랜섬웨어’의 활동이 동시에 이루어집니다. 이러한 랜섬웨어는, 활동 시 익명 네트워크인 ‘Tor ‘를 통해 C&C서버와 통신하게 되어, 모바일 랜섬웨어가 컴퓨터 악성코드보다 더 교묘하다는 것을 보여주었습니다.

ANDROIDOS_LOCKER.HBT 몸값 요구 메시지 표시 예

그림 1 : “ANDROIDOS_LOCKER.HBT”몸값 요구 메시지 표시 예

“ANDROIDOS_LOCKER.HBT”의 확인 3 개월 후인 2014 년 8 월에는 또다른 모바일 랜섬웨어 ‘ANDOIDOS_RANSOM.HBT “가 등장했습니다. 이 랜섬웨어는 자신 이외의 모든 응용 프로그램을 종료시키고, SD 카드의 정보를 암호화합니다. 그 후 현재까지 “ANDROIDOS_SIMPLOCK”, “AndroidOS_Svpeng”, “AndroidOS_Fusob”, “AndroidOS_Whello”, “AndroidOS_Ihide”등 모바일 랜섬웨어 패밀리가 확인되고 있습니다. 해당 랜섬웨어들은 아래와 같은 더욱 교묘해진 공격기법을 사용합니다.

  • 클릭 재킹
    설치 시 이용자에게 들키지 않고 장치 관리 API의 권한을 가지고 가기 위하여 사용되는 방법입니다.
    “ANDROIDOS_LOCKER”, “AndroidOS_Svpeng”, “AndroidOS_Ihide '등으로 확인되고 있습니다. 응용프로그램의 장치 관리 API의 권한을 부여하는 화면에서 다른 설치 화면으로 위장하여 표시 화면을 클릭하도록 합니다. 이용자는 일반적인 [다음] 버튼으로 생각하지만, 실제로는 응용 프로그램에 대한 권한 부여를 허락하는 [승인] 버튼을 누르게 됩니다.
    장치 관리 API는 시스템 수준에서 장치 관리를 허용하는 권한입니다. 악성 앱은 이용자를 속여 장치 관리 API의 권한을 얻고, 이를 악용하여 악성 응용 프로그램의 존재를 숨기고 제거를 어렵게 하는 등 일반적으로는 할 수 없는 활동이 가능하게 됩니다.

    ANDROIDOS_LOCKER.HBT 몸값 요구 메시지 표시 예

    그림 2 : “ANDROIDOS_Svpeng”이 클릭 재킹에서 사용하는 가짜 설치 화면 예시.
    오른쪽 하단의 [다음] 버튼의 뒷면에는 [승인] 버튼이 숨겨져 있음

  • PIN 잠금 변경
    Android에는 기본적으로 비밀번호를 사용하여 화면 잠금을 하는 보안 기능이 탑재되어 있습니다. PIN 잠금 변경은, 화면 잠금을 해제하기 위한 PIN을 마음대로 설정하거나 변경하여 단말기를 사용할 수 없게 하는 기법입니다. 해당 공격은 “AndroidOS_Svpeng” 등으로 확인되고 있습니다. 변경된 PIN을 알아내지 못한다면, 이용자는 자신의 단말기를 사용할 수 없게 됩니다.
  • 방화벽 기능 악용
    단말기에 설치된 보안 제품의 기능을 비활성화하는 데 사용되는 기술이며, “AndroidOS_Whello” 등으로 확인되고 있습니다. 미리 지정된 보안 업체에 대한 액세스를 차단하는 방화벽 기능을 설정합니다. 보안 제품이 작동하기 위한 필수 정보를 해당 업체와 통신할 수 없게 함으로써, 결과적으로 보안 제품이 제대로 작동하지 않게 됩니다.

모바일 랜섬웨어는, 이처럼 PC 버전 랜섬웨어와 동일하거나, 그 이상의 성공적인 수법과 기능으로 현재 개인 정보보안에 있어 매우 위험한 존재가 되고 있습니다. 또한 잘못된 응용 프로그램에 대해 비교적 안전하다고 생각되는 iOS 단말에서도 피싱을 통한 iCloud 인증 탈취, 단말 관리 기능을 이용한 iOS 단말기 무력화 등의 몸값 요구형 공격이 나타나고 있습니다. 앞으로는 Android나 iOS에 상관없이 모바일 랜섬웨어의 공격은 큰 위협이 될 것입니다.

■ 피해를 당하지 않기 위해서

현재 악성 앱의 대부분은 정식마켓이 아닌 기타 의심스러운 마켓에서 배포되고 있습니다. 일반 Android용 앱 마켓 인 'Google Play'와 휴대 전화 사업자가 운영하는 같은 신뢰할 수 있는 마켓에서만 앱을 설치하도록, Android OS의 보안 설정에서 “출처를 알 수 없는 앱” 허용 설정을 비활성화하는 것이 좋습니다. 신뢰할 수 있는 타사 마켓에서 앱을 설치하는 경우에만 “출처를 알 수 없는 앱” 설치를 허용하여 설치하시기 바랍니다.

악성 응용 프로그램은 일반적으로 메일 또는 웹 표시 등의 수법으로 확산되고 있습니다. 특히 동영상 재생 등의 실행에 필요한 애플리케이션, 편리한 기능을 제공하는 응용 시스템 업데이트 및 보안에 필요한 응용 프로그램 등의 명목으로, 이용자를 속여 설치하는 수법을 볼 수 있습니다. 메일이나 웹 열람 시 나오는 메시지에서 응용 프로그램의 설치를 요구 받을 경우에는 주의하십시오.

또한 'Google Play'를 닮은 디자인을 사용하여 정상 마켓과 혼돈이 생길 수 있습니다. 가짜 마켓에 유도되지 않도록 'Google Play'에 등록되어 있는 아이콘으로 접속하십시오. 또한 웹사이트에서 액세스하려면 URL이 올바른 것인지를 확인하는 것이 좋습니다.

정상적인 'Google Play'에서 응용 프로그램을 사용할 때에도 앱 개발자, 리뷰, 설치 횟수 등의 항목을 체크하여 수상한 점에 주의할 수 있는 경우가 있습니다.

Android에는 단말기가 동작하기 위한 최소한의 시스템만으로 시작하는 “안전 모드”가 있습니다. 실제 랜섬웨어에 감염된 경우 Android를 안전 모드로 부팅하여 랜섬웨어의 시작을 제한하면 제거가 가능한 경우가 있습니다. 안전 모드 부팅은 사용 기종마다 다르므로, 사용 기종의 안전 모드 부팅 방법을 확인하십시오.

■ 트렌드마이크로의 대책

트렌드마이크로는 모바일 환경에서의 종합 보안 대책으로서 개인 이용자를 위한 트렌드마이크로 모바일 시큐리티를 제공하고 있습니다. 이 제품은 트렌드마이크로의 클라우드 기반 보안 기술인 클라우드 보안센터(SPN)의 Mobile App Reputation Service (MAR) 기술과 Web 평판 (WRS) 기술을 이용하여 악성 응용 프로그램 및 부정 웹사이트 차단에 대응하고 있습니다.

PC와 모바일 총 3대까지 보호하는 트렌드마이크로 맥시멈 시큐리티 10 제품의 라이선스코드로 트렌드마이크로 모바일시큐리티를 이용하실 수 있습니다.