가짜 어도비 플래시 플레이어 다운로드가 감염 매개
전형적인 랜섬웨어 공격에다 PIN 번호 변경 기능 더해

[보안뉴스 오다인 기자] 악성 웹사이트에서 가짜 어도비 플래시 플레이어를 다운로드 받은 안드로이드 사용자라면 ‘더블락커(DoubleLocker)’라고 불리는 독특한 안드로이드 랜섬웨어에 감염됐을지 모른다. 보안 업체 ESET 연구진이 13일 발표한 결과다.

ESET의 멀웨어 연구자 루카스 스테판코(Lukas Stefanko)에 따르면, 더블락커는 지난 8월 발견된 멀웨어로 안드로이드 기기 정보를 암호화할 뿐만 아니라 기기 PIN 번호까지 바꾸는 이중 피해를 입힌다.

스테판코는 “더블락커가 흥미로운 점은 바로 세 가지 요소를 종합해서 위험성을 증폭시켰다는 것”이라며 “이런 조합은 지금까지 한 번도 나타난 적 없다”고 말했다. “사용자를 대신해서 클릭하는 기능, 즉 접근성 요소가 첫 번째고, 정보를 암호화하는 것이 두 번째, 사용자 기기의 PIN 번호를 재설정하는 게 세 번째 요소입니다.”

더블락커는 감염된 기기를 제어하기 위해 접근성 기능을 악용하는 모바일 뱅킹 멀웨어에 기초해 제작됐다.

가짜 어도비 플래시 플레이어는 더블락커의 접근성 기능을 통해 가짜 구글 플레이 서비스를 활성화하라고 요구한다.

스테판코는 “더블락커가 특정 취약점을 익스플로잇하는 것이 아니”라고 지적했다. “더블락커는 안드로이드 시스템 자체를 이용하는 것입니다. 이 시스템이 원래 설계된 데서 악용할 지점을 포착한 것이죠.”

더블락커가 기기 접근성에 대한 허가를 얻고 나면, 이를 이용해 기기 관리자 권한까지 얻을 수 있다. 이후, 더블락커는 사용자의 승인 없이 기본홈 애플리케이션으로 더블락커를 설정할 수 있게 된다.

ESET 보고서에 따르면, 더블락커는 기본홈 애플리케이션 또는 애플리케이션 런처(launcher)가 된 이후 사용자가 홈 버튼을 누르면 활성화된다. 그런 다음, PIN 번호를 무작위 값으로 변경해서 피해 기기가 아닌 다른 곳에 저장한다. 그 결과, 사용자나 보안 팀 중 그 누구도 PIN 번호를 복구할 수 없게 된다. 사용자가 더블락커의 몸값을 지불하면 공격자는 원격으로 PIN 번호를 재설정하고 기기를 잠금 해제시킨다.

또한, 더블락커는 일반적인 랜섬웨어 공격을 가할 수도 있다. 기기의 주요 저장 디렉토리 내 파일들을 암호화하는 공격 말이다. ESET은 파일명 확장자에서 ‘.cryeye’를 발견한다면 그 기기는 공격에 당한 것이라고 설명했다.

몸값, 낼 것인가 말 것인가
더블락커는 0.0130비트코인을 몸값으로 요구한다. 달러로는 54달러, 원화로는 6만 9천 원 정도다. 더블락커의 피해자들은 24시간 내에 지불하라는 요구를 받는다. 만약 몸값을 지불하면, 정보를 돌려받는다.

그러나 ESET에 따르면 탈취된 PIN 번호를 재설정하는 방법은 있다.

기기가 루팅되지 않았으면서 PIN 번호를 바꾸는 모바일 기기 관리 시스템도 없다면 공장 초기화를 통해 PIN 번호를 복구시킬 수 있다. 공장 초기화를 하면 PIN 잠금 화면이 제거되긴 하지만, 기기에 저장된 모든 다른 정보도 한꺼번에 삭제된다는 점도 유의해야 한다.

기기가 루팅됐거나 설정에서 디버깅이 활성화돼있다면, 기기를 안드로이드 디버그 브리지(ADB: Android Debug Bridge)에 연결시킨 다음, PIN이 저장된 파일을 제거할 수 있다고 ESET은 조언했다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>