안드로이드 랜섬웨어가 유포 중, iTunes 기프트 카드로 몸값 요구

Dogspectus 안드로이드 랜섬웨어가 스마트폰에 조용히 설치되어 $200 iTunes 기프트 카드 몸값을 요구합니다

Blue Coat의 보안 연구원들은 사용자 상호작용 없이 랜섬웨어로 장치를 감염시키는 Dogspectus라는 안드로이드 랜섬웨어를 퍼뜨리는 새로운 모바일 악성코드 배포 캠페인을 발견했습니다.

Blue Coat Labs의 전문가들은 CyanogenMod 10 / Android 4.2.2를 실행하는 태블릿이 사용자 상호작용 없이 악성 페이로드를 조용히 제공하는 광고를 본 후 이 위협을 처음 발견했습니다.

감염은 사용자가 오염된 JavaScript 코드가 포함된 웹사이트를 방문할 때 발생합니다. Blue Coat Labs는 악성 코드는 악성 광고(말버타이징)를 통해 전달된다고 말합니다. 악성 코드는 모바일 광고를 가로채 기프트 카드를 사기치며, 피해자만 결제를 할 수 있는 상태로 장치를 잠급니다.

Zimperium의 보안 연구원들은 악성 코드가 작년 Hacking Team 데이터 유출에서 유출된 익스플로잇을 포함하고 있음을 확인했습니다.

이 공격은 매우 정교하며, 아래에서 Andrew Brandt가 설명한 바와 같이 고전적인 말버타이징 공격의 진화를 나타냅니다.

“내가 아는 한, 익스플로잇 키트가 피해자의 사용자 상호작용 없이 모바일 장치에 악성 앱을 성공적으로 설치할 수 있었던 것은 이번이 처음입니다. 공격 중에 장치는 일반적으로 안드로이드 애플리케이션 설치 전에 표시되는 ‘애플리케이션 권한‘ 대화 상자를 표시하지 않았습니다.”라고 Brandt는 썼습니다.

Zimperium의 연구원들의 도움으로 추가 분석을 한 결과, 익스플로잇이 공격자가 장치에 module.so라는 리눅스 ELF 바이너리를 다운로드할 수 있도록 하는 libxslt 안드로이드 라이브러리의 취약점을 이용한다는 것이 밝혀졌습니다.

이 바이너리는 Towelroot로 알려진 안드로이드 익스플로잇을 사용하여 장치에서 루트 권한을 얻습니다. 이 도구는 2014년 인기 해커 George Hotz에 의해 출시되었으며, 알려진 리눅스 결함(CVE-2014-3153)을 이용하여 안드로이드 장치를 루팅할 수 있습니다.

루트 접근이 확인되면, module.so는 랜섬웨어 코드를 포함하는 추가 안드로이드 APK(안드로이드 애플리케이션 패키지)를 다운로드합니다. 공격자는 루트 접근 권한을 가진 상태에서 사용자에게 어떤 권한을 요청하지 않고 랜섬웨어를 조용히 설치할 수 있습니다.

이 랜섬웨어 트로이 목마의 이름은 Dogspectus 또는 Cyber.Police이며, 2014년 12월에 처음 탐지되었습니다. 파일을 암호화하는 데스크톱 기반 랜섬웨어와 비교할 때, 이 애플리케이션은 사용자 파일을 암호화하지 않습니다. 대신, 장치에서 불법 활동이 감지되었다고 주장하는 법 집행 기관의 가짜 경고를 표시하며 소유자가 벌금을 지불해야 한다고 합니다.

Blue Coat Labs는 감염된 피해자가 장치에서 중앙 명령 및 제어 서버로 암호화되지 않은 트래픽을 전송한다고 말합니다. 이 회사는 Android 버전 4.0.3에서 4.4.4 사이의 224개 다른 안드로이드 장치 모델(태블릿, 스마트폰)에서 오는 트래픽을 추적할 수 있었습니다.

공식적으로 지원되는 안드로이드의 최저 버전은 4.4.4로, 이는 공격자들이 장치를 업그레이드하지 못한 사용자들을 겨냥하고 있음을 의미합니다.

“이 장치 중 일부가 Hacking Team libxlst 익스플로잇에 대해 취약하지 않다는 것이 알려져 있다는 사실은 다른 익스플로잇이 일부 [다른] 모바일 장치를 감염시키는 데 사용되었을 수 있음을 의미합니다.”라고 Brandt는 언급했습니다.

“랜섬웨어는 피해자의 데이터를 암호화하겠다고 위협하지 않거나 실제로 암호화하지 않습니다. 오히려 장치는 범죄자에게 두 개의 $100 Apple iTunes 기프트 카드 코드 형태로 결제를 전달하는 것 외에는 아무 것도 할 수 없는 잠긴 상태로 유지됩니다.”라고 Brandt는 연구 노트에서 썼습니다.

몸값을 지불하여 전화 잠금을 해제하려는 피해자는 $100에서 $200 사이의 ‘벌금’을 ‘재무 계좌’에 iTunes 기프트 카드 코드를 제출하여 지불하도록 안내받습니다.

그러나 Brandt는 랜섬웨어를 제거하는 가장 쉽고 효과적인 방법은 안드로이드 장치를 원래의 공장 기본 소프트웨어로 복원하는 것이라고 말했습니다. 따라서 Dogspectus 안드로이드 랜섬웨어에 감염된 경우, 장치를 PC에 연결하고 개인 데이터를 컴퓨터에 복사한 후 공장 초기화를 선택하는 것이 좋습니다.

또한, 장치를 최신 안드로이드 버전으로 업그레이드하는 것이 항상 권장됩니다. 최신 OS 버전에는 취약점 패치 및 기타 보안 개선 사항이 포함되어 있습니다. 또한, 사용자는 장치가 지원 종료되고 더 이상 업데이트를 받지 않을 경우 웹 브라우징 활동을 제한해야 합니다. 마찬가지로, 구형 장치에서는 기본 안드로이드 브라우저 대신 Chrome과 같은 브라우저를 설치해야 합니다.