성인물 열람 가능케 해주는 것처럼 꼬득여 침투하는 랜섬웨어
늘어나는 펌웨어 공격에 맞춘 새로운 서비스, 바이러스토탈에서 시작

[보안뉴스 문가용] 새로운 안드로이드 랜섬웨어가 또 등장했다. 이름은 락드로이드(Lockdroid)로 기기를 잠그고 PIN을 바꿀 수도 있으며 데이터를 깨끗이 지워 공장초기화도 시킬 수 있다. 사용자가 언인스톨을 실행할 경우 삭제를 스스로 방지하는 기능까지도 갖추고 있다.



이 랜섬웨어가 락드로이드라고 이름 붙여진 건 본래 이름이 Android.Lockdroid.E이기 때문. 시만텍이 처음 발견했고 명명했다. 시만텍에 따르면 락드로이드는 성인물 콘텐츠를 볼 수 있게 해주는 프로그램인 것처럼 위장할 뿐 아니라 고도의 소셜 엔지니어링 기법까지 활용해 관리자 권한을 얻어낸다고 한다. 그렇게 침투에 성공하면 Package Installation이라는 가짜 메시지를 내보내 사용자가 무심코 클릭하도록 유도한다.

이 가짜 메시지를 출력할 때 락드로이드는 TYPE_SYSTEM_ERROR 창을 활용하는데, 이는 창을 화면의 맨 위에 생성하는 특성을 가지고 있다. 맨 위에 가짜 메시지가 뜸으로써 기기 관리자가 API를 요청하는 걸 가릴 수 있게 된다. 이후 완료되었다는 메시지를 띄우는데, 이때는 TYPE_SYSTEM_OVERLAY 창을 활용한다. 이 역시 기기 관리자 활성화 대화상자 위에 뜬다.

현재 해당 랜섬웨어는 Porn O Mania라는 앱 속에서 돌아다니고 있는데, 해당 앱은 정식 구글 플레이 스토어에는 아직 올라와있지 않다. 다만 비공식 스토어에는 존재한다. 따라서 공식 스토어에서 건전한 앱만 당분간 받으면 대부분 안드로이드 사용자들은 안전할 것으로 보인다.

한편 구글이 소유하고 있으며 각종 멀웨어 및 취약점에 관한 정보가 교류되는 웹 사이트인 바이러스토탈(VirusTotal)에서 서비스를 확장한다는 발표를 했다. 이제부턴 펌웨어 이미지도 스캐닝 한다는 것. 최근 감시 및 정보탈취 목적으로 OS를 넘어 펌웨어에까지 멀웨어가 침투하는 현상이 두드러지고 있는 것이 배경이라고 바이러스토탈 측은 설명했다.

“펌웨어는 오늘날 해커들의 주요 표적이 되고 있습니다. 특히 바이오스에 대한 공격이 자주 이뤄지고 있죠. 펌웨어를 공격하면 OS가 시동되기도 전에 멀웨어가 활동을 시작할 수 있어 들킬 확률이 낮아진다는 장점이 있습니다. 리부트, 시스템 포맷에도 살아남고요. 백신 소프트웨어들도 대부분 펌웨어까지 검사하진 않죠. 그래서 APT 공격자들이 펌웨어 공격을 좋아합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>