안드로이드 환경에서 작동하는 파일코더...암호화 알고리즘은 부실해
피해자의 연락처에 있는 모든 사람들에게 문자 메시지 전송...악성 링크 포함

[보안뉴스 문가용 기자] 보안 업체 이셋(ESET)이 새로운 랜섬웨어를 발견했다고 발표했다. 이 랜섬웨어의 이름은 안드로이드파일코더C(Android/Filecoder.C)라고 하며, 피해자의 연락처 정보에 등록된 사람들에게 악성 링크가 포함된 SMS 텍스트를 일제히 뿌린다고 한다.


이셋에 의하면 안드로이드파일코더C(이하 파일코더)는 꽤나 부실하게 만들어진 멀웨어라고 한다. “복호화 키를 사용하지 않아도 파일 복구가 가능할 정도로 약한 암호화 알고리즘을 사용하고 있습니다. 공격자의 분명한 실수입니다. 하지만 랜섬웨어가 퍼지는 방법만큼은 꽤나 훌륭합니다.” 이셋의 연구원인 루카스 스테판코(Lukas Stefanko)의 설명이다.

“파일코더의 경우 다른 건 몰라도 확산 방법 하나는 꽤나 주목할 만합니다. 파일을 암호화 하기 전에 먼저 피해자의 연락처 목록을 염탐하고, 그 목록에 나온 모든 사람들에게 문자 메시지를 발송합니다. 문자에는 악성 링크가 포함되어 있어, 사람들이 눌렀을 때 똑같은 랜섬웨어에 감염됩니다.”

독특한 점은 하나 더 있다. 악성 문자 메시지를 42개 언어로 발송할 수 있다는 것이다. “그렇다는 건 이론상 이 랜섬웨어가 걷잡을 수 없는 속도로 퍼져갈 수 있다는 뜻이 됩니다. 실제로 어떨지는 모르겠습니다만, 꽤나 무서운 사태가 발생할 가능성도 없지 않습니다.”

현재 파일코더 배후에 있는 공격자들은 성인 콘텐츠와 관련된 게시글로 피해자들을 꾀어 악성 도메인에 접속하도록 만든 뒤 피해자들 모르게 시스템을 감염시키는 수법을 주로 사용하고 있다. 가장 많은 활동이 이뤄지는 곳은 온라인 커뮤니티인 레딧(Reddit)이다.

스테판코는 “파일코더 제작자들이 암호화 알고리즘에서 발견된 엉성한 점들을 수정하기로 마음먹고 현재의 감염 경로를 통해 파일을 퍼트리기 시작할 때, 큰 사태로 이어질 수 있다”고 경고했다. “현재 이 위협을 막고 있는 건, 사실 파일코더 내부의 엉성함 그 자체이기 때문입니다.”

독특한 부분은 몇 가지 더 있다.
1) 파일을 암호화 하는 과정에서 50MB가 넘는 아카이브와 150Kb보다 작은 이미지는 무시한다.
2) 기기의 화면을 잠그지 않는다(대부분 안드로이드 랜섬웨어는 화면을 잠근다).
3) 암호화 해야 하는 파일 목록에, 안드로이드 장비에 없는 파일 유형이 포함되어 있다.
4) 암호화 해야 하는 파일 목록에, 안드로이드 장비에서 흔히 발견되는 파일 유형들이 빠져있다.

그러나 가장 이상한 부분은 피해자에게 요구하는 금액과 관련되어 있다. “보통 랜섬웨어들처럼 금액이 정해져 있지 않습니다. 파일코더의 경우 랜섬웨어가 피해자에게 특정 UserID를 배정하고, 이를 기반으로 공격자의 협박 편지 내용이 동적으로 만들어집니다. 그러니 피해자마다 고유한 금액을 요구받습니다.”

현재까지 파일코더가 요구한 금액은 0.01~0.02 비트코인 사이에 있다고 이셋은 밝혔다. 그러나 더 많거나 적은 금액을 요구받은 피해자가 아직 발견되지 않았을 가능성도 존재한다.

3줄 요약
1. 새롭게 발견된 ‘파일코더’ 랜섬웨어, 안드로이드 환경에서 활동 시작.
2. 여러 가지로 엉성한 모습 보여주지만, 배포 기능은 확실. 피해자의 연락처 정보 적극 활용.
3. 피해자에게 요구하는 금액은 사람마다 달라짐. 주로 0.01~0.02 비트코인 사이.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>