조심하세요, 이 랜섬웨어가 당신의 스마트 TV를 노리고 있습니다

사이버 범죄자들이 랜섬웨어로 TV를 암호화한 후 안드로이드 스마트 TV 소유자에게 돈을 갈취하고 있습니다

보안 회사들이 그들을 잡기 위해 무엇을 하든, 사이버 범죄자들은 항상 한 발 앞서 나가는 것 같습니다. 지난 몇 주 동안 헤드라인을 장식한 랜섬웨어 위협 속에서 새로운 유형의 위협이 등장했습니다.

사이버 범죄자들이 웹사이트 해킹, 비밀번호 도용 등에만 관심이 있다고 생각했을 때, 그들이 새로운 관심 분야인 사물인터넷(IoT)으로 이동한 것 같습니다. 다시 말해, 스마트워치, 스마트 TV, 스마트 냉장고 또는 인터넷에 연결된 스마트 장치를 소유하고 있다면 조심해야 할 것입니다.

트렌드 마이크로 연구원들은 ‘FLocker’라는 안드로이드 모바일 잠금 화면 랜섬웨어를 발견했습니다. 이 랜섬웨어는 안드로이드 스마트폰뿐만 아니라 스마트 TV도 잠글 수 있습니다. 네, 맞습니다!

트렌드 마이크로의 연구원인 에코 두안은 블로그 포스트에서 FLocker(ANDROIDOS_FLOCKER.A로 탐지되며 “Frantic Locker”의 약자) 버전이 2015년 5월에 출시된 이후로 7,000개 이상의 변종이 회사에 의해 추적되었다고 썼습니다. FLocker 랜섬웨어는 처음에 안드로이드 스마트폰을 목표로 하였으며, 개발자들은 랜섬웨어를 지속적으로 업데이트하고 새로운 안드로이드 시스템 변경 사항에 대한 지원을 추가했습니다.

“우리가 발견한 TV를 감염시키는 랜섬웨어의 첫 번째 주요 사례입니다.”라고 글로벌 위협 커뮤니케이션 매니저인 크리스토퍼 버드가 SCMagazine.com에 이메일로 전했습니다.

보고서에 따르면, 저자는 탐지를 방지하고 루틴을 향상시키기 위해 악성 코드를 계속 재작성했습니다. “지난 몇 달 동안 우리는 출시된 변종의 수에서 급증과 감소를 목격했습니다. 최신 급증은 4월 중순에 1,200개 이상의 변종이 나왔습니다.”라고 회사는 말했습니다.

이 FLocker는 경찰 트로이 목마처럼 작동하며, 잠재적인 피해자를 미국 사이버 경찰 또는 다른 법 집행 기관이라고 주장하여 돈을 지불하도록 겁을 주려고 합니다. 악성 코드가 다운로드되고 TV가 잠기면 해커는 잠재적인 피해자에게 그들이 저지르지 않은 범죄를 비난하고 스마트 TV 또는 모바일 장치를 잠금 해제하기 위해 200달러의 iTunes 기프트 카드를 요구합니다.

아이러니하게도, 여러 장치를 하나의 플랫폼에서 사용하는 편리함은 해커들에게 더 쉽게 만들어 줍니다. “하나의 플랫폼에서 여러 장치를 사용하는 것은 많은 사람들에게 삶을 더 쉽게 만듭니다. 그러나 만약 악성 코드가 이러한 장치 중 하나에 영향을 미친다면, 해당 악성 코드는 결국 다른 장치에도 영향을 미칠 수 있습니다.”라고 두안은 썼습니다.

“어떻게 전달되는지에 관해서는, 표준 감염 벡터를 통해 전달됩니다: 새로운 것이나 특별한 것은 없습니다. 이 경우 TV는 랜섬웨어의 우발적인 부수적 피해이며, 특별히 목표로 삼은 것이 아닙니다. 그들은 단지 공격 가능한 버전의 안드로이드를 실행하고 있을 뿐입니다.”라고 버드가 말했습니다.

모바일 장치를 공격하는 FLocker와 스마트 TV를 공격하는 버전 사이에는 큰 차이가 없습니다.

“정적 분석을 피하기 위해 FLocker는 ‘assets’ 폴더 내의 원시 데이터 파일에 코드를 숨깁니다. 생성된 파일은 ‘form.html’이라는 이름을 가지며 정상적인 파일처럼 보입니다. 이렇게 함으로써 ‘classes.dex’의 코드는 매우 단순해지고 악성 행동을 찾을 수 없습니다. 따라서 악성 코드는 정적 코드 분석에서 벗어날 기회를 가집니다. 악성 코드가 실행되면 ‘form.html’을 복호화하고 악성 코드를 실행합니다.”라고 그는 썼습니다.

트렌드 마이크로는 이 악성 코드가 러시아, 불가리아, 헝가리, 우크라이나, 조지아, 카자흐스탄, 아제르바이잔, 아르메니아 및 벨라루스를 포함한 일부 지역에서 스스로 비활성화되도록 구성되어 있다고 말합니다.

그러나 FLocker가 이러한 국가 외부의 장치를 감지하면, 악성 코드는 30분 동안 대기합니다. 짧은 대기 기간 후, 즉시 장치 관리자 권한을 요청하는 백그라운드 서비스를 시작합니다. 사용자가 요청을 거부하면 시스템 업데이트를 가장하여 화면을 얼립니다.

FLocker는 백그라운드에서 실행되며 명령 및 제어(C&C)에 연결됩니다. C&C는 잘못된 이름의 새로운 페이로드 misspelled.apk와 JavaScript(JS) 인터페이스가 활성화된 ‘랜섬’ HTML 파일을 전달합니다. 이 HTML 페이지는 APK 설치를 시작하고, JS 인터페이스를 사용하여 영향을 받은 사용자의 사진을 찍고, 랜섬 페이지에 찍힌 사진을 표시할 수 있는 기능을 가지고 있습니다.

랜섬 웹페이지는 모바일 장치에 감염되었든 스마트 TV에 감염되었든 관계없이 화면에 맞게 조정됩니다.

비록 FLocker의 새로운 변종이 감염된 장치의 파일을 암호화하지는 않지만, 연락처, 전화번호, 장치 정보 및 위치 데이터를 포함하여 장치에서 데이터를 훔칠 수 있는 능력을 가지고 있습니다.

트렌드 마이크로의 보고서는 FLocker가 스마트 TV를 감염시키는 방법에 대해 명확하지 않지만, 일반적으로 랜섬웨어 감염은 SMS 또는 악성 링크를 통해 발생한다고 언급합니다.

따라서 인터넷을 탐색하거나 알 수 없는 출처로부터 문자 메시지나 이메일을 받을 때 주의해야 합니다.

동유럽에 거주하지 않는 사람들을 위해 두안은 블로그에서 “안드로이드 TV가 감염되면 먼저 장치 공급업체에 해결책을 문의할 것을 권장합니다.”라고 추천했습니다.

조금 기술에 능숙한 피해자들은 스스로 문제를 해결할 수 있을 것입니다. 그는 “사용자가 ADB 디버깅을 활성화할 수 있다면 악성 코드를 제거하는 또 다른 방법이 가능합니다. 사용자는 PC와 장치를 연결하고 ADB 셸을 실행하여 ‘PM clear %pkg%’ 명령을 실행할 수 있습니다. 이렇게 하면 랜섬웨어 프로세스가 종료되고 화면이 잠금 해제됩니다. 사용자는 그런 다음 애플리케이션에 부여된 장치 관리자 권한을 비활성화하고 앱을 제거할 수 있습니다.”라고 말했습니다.

그는 또한 “모바일 장치를 보호하기 위해, 우리는 악성 앱과 위협으로부터 보호하기 위해 스마트 장치에 보안 소프트웨어를 설치할 것을 권장합니다. 트렌드 마이크로 모바일 보안 및 트렌드 마이크로 모바일 보안 개인 버전은 사용자들을 이 랜섬웨어 및 기타 관련 위협으로부터 보호합니다. 트렌드 마이크로 모바일 보안 개인 버전은 구글 플레이에서 이용할 수 있습니다.”라고 덧붙였습니다.

다음 번에 당신의 안드로이드 스마트 TV가 재생을 거부하면, 당신이 큰 랜섬에 처해 있다는 것을 알아야 합니다.