안드로이드 스마트폰을 겨냥한 WannaCry 랜섬웨어 유사체

WannaCry 유사체가 안드로이드 스마트폰의 외부 저장소의 파일을 암호화함

WannaCry 랜섬웨어가 전 세계 많은 범죄자들에게 영감을 주고 있는 것 같습니다. 최근에 일본의 14세 소년이 이 악성코드에 감명을 받아 WannaCry와 유사한 악성코드를 개발하다가 체포된 사건을 보도한 바 있습니다.

현재 중국의 사이버 범죄자들이 WannaCry와 유사한 그래픽을 사용하여 사용자들을 속여 빠르게 몸값을 지불하도록 유도하는 안드로이드 랜섬웨어를 개발했습니다.

WannaCry 랜섬웨어는 Microsoft의 Windows 운영 체제의 취약점을 악용하여 지난달 72시간 이내에 150개국에서 300,000대 이상의 컴퓨터를 감염시켰습니다. WannaCry 랜섬웨어 크립토웜은 데이터를 암호화하고 데이터 잠금을 해제하기 위한 비밀번호와 교환으로 가상 화폐 비트코인으로 지불을 요구했습니다.

중국 보안 회사 Qihoo 360에 의해 처음 발견되고 Avast에 의해 “WannaLocker”라는 이름이 붙여진 이 WannaCry 랜섬웨어의 유사체는 현재 중국에 거주하는 안드로이드 사용자들을 겨냥하고 있습니다. 해커들은 이 랜섬웨어를 중국 게임 포럼을 통해 퍼뜨리고 있으며, 이는 중국에서 매우 인기 있는 모바일 게임인 왕의 영광의 플러그인으로 위장되어 있습니다.

악성코드는 어떻게 작동하나요?

이 가짜 애드온이 장치에 설치되면, WannaLocker 랜섬웨어는 앱 서랍에서 앱 아이콘을 숨기고 감염된 장치의 기본 배경화면을 애니메이션 이미지로 변경합니다. 그런 다음, 감염된 장치의 외부 저장소에 저장된 파일을 암호화하기 시작합니다.

랜섬웨어는 AES 암호화를 사용하여 파일을 잠급니다 (아래 코드 참조). 안드로이드 OS의 손상 및 충돌을 방지하기 위해, “.”로 시작하는 파일이나 “DCIM”, “download”, “miad”, “android”, “com.”이 경로에 포함된 파일, 또는 10KB보다 큰 파일은 암호화하지 않습니다.

암호화 과정이 완료되면, Simplocker보다 적은 몸값을 요구하며, WannaCry의 메모에서 영감을 받은 몸값 메시지를 사용하여 지시사항을 공개합니다.

Avast의 모바일 위협 정보 및 보안 책임자인 Nikolaos Chrysaidos는 블로그 게시물에서 다음과 같이 설명합니다:

“랜섬웨어는 40 중국 위안의 몸값을 요구하며, 이는 약 5-6 미국 달러에 해당합니다. 이는 과거 다른 모바일 랜섬웨어가 요구했던 것에 비해 많지 않습니다. 몸값이 암호화폐가 아닌 일반 통화로 요구된다는 사실은 이들이 빠르게 돈을 벌려고 한다는 생각이 듭니다. 그러나 이는 돈이 쉽게 추적될 수 있기 때문에 위험합니다. 암호화폐를 보낼 때와는 다릅니다.”

랜섬웨어의 피해자들은 QQ, Alipay, WeChat과 같은 중국 결제 방법을 사용하여 일반 통화로 몸값을 지불하라는 지시를 받습니다.

몸값 처리의 부실함은 아마추어 해커 또는 해커 그룹의 작품일 수 있음을 시사합니다. 결과적으로, 중국 당국이 WannaLocker 랜섬웨어의 배후와 몸값을 받는 사람을 알아내는 것은 시간 문제입니다.

다음은 Avast가 안드로이드 사용자에게 제공하는 보안 조언입니다:

랜섬웨어로부터 전화기와 저장된 귀중한 사진, 비디오, 연락처를 보호하기 위해, 데이터를 자주 백업하고 모든 장치에 안티바이러스를 설치하십시오.

또한, 안드로이드 사용자는 Google Play 외의 앱 마켓에서 앱을 다운로드하는 것을 자제해야 합니다. 만약 몸값 기반 공격의 피해자가 된다면, 몸값 요구에 굴복하지 말고 대신 전문가의 도움을 받으십시오.

지난주, 온라인 보안 회사 Check Point는 사용자의 웹 브라우저를 제어하고 온라인에서 고객을 위한 가짜 광고 클릭 및 프로모션을 생성하는 Fireball이라는 악성코드를 탐지했습니다. 이 악성코드는 전 세계 2억 5천만 대 이상의 컴퓨터에 영향을 미쳤으며, 인도가 가장 큰 피해를 입었습니다.

출처: IBT