Codec Pack으로 위장한 Android 용 Ransomware

Android OS에서 음성 코덱을 지원하지 않아서 오디오가 호환되지 않는 상황이 더러 있습니다.
이 때문에 Android 앱스토어에서 Codec Pack을 설치하곤 하는데 Ransomware가 Codec Pack으로

위장하여 침입을 하는 이슈가 있었습니다.

 

해당 Ransomware에 감염이 될 경우 장치에서 파일을 암호화하고 잠재적으로 콘텐츠 잠금 해제와 관련하여 몸값을 요구하게 됩니다.

 

오늘은 Android Ransomware에 관해 포스팅 하도록 하겠습니다.

 

먼저 감염경로 입니다.
설치 중에 다음과 같은 권한에 대해 멀웨어에서 요청을 합니다.

 

• internet
• get tasks
• 백그라운드 프로세스 죽이기
• access fine location
• access coarse location
• 전화 걸기
• 진동
• SMS 받기 / 읽기 / 쓰기 / 보내기
• 연락처 읽기
• 전화상태 읽기
• 시스템 경고창
• Wake 잠금 장치
• 키보드 보안 사용 안함
• 부팅 완료
• 외부 저장소 읽기 / 쓰기
• quick boot power on

 

실행시 도메인 fsdf2tvwev-ru.1gb.ru에 GET 요청을 보냅니다.
이는 침입자가 장치의 감염에 대해 등록 / 알려주는 멀웨어가 나타내는 일반적인 행동입니다.

 

웹페이지(reg.php)의 이름은 이 동작을 나타내는 또 다른 표시입니다.
그러나 오류로 표시되는 Base 64 Encode 응답을 얻었습니다.

 

 

몇 분 후에 아래와 같이 바탕화면을 커버하는 몸값 메시지를 받습니다.

 

 

백그라운드에서 Ransomware는 장치의 파일을 암호화하고 끝에 ".Lucy"확장자를 추가합니다.

 

 

이 Ransomware는 피해자가 대략 $481에 해당하는 600CAD(캐나다 달러)를 지불하도록 유도합니다.
공격자는 Neosurf를 통해 지불을 요구합니다.
지불하기 위해서는 피해자가 바우처 번호 또는 코드를 Neosurf 바우처 구입 후 추가하여야 합니다.

 

추가 포인트로는 다음과 같습니다.
• 악성 코드는 코드에 다음과 같은 하드 코드 된 URL을 포함합니다.
- hxxp : //fsdf2tvwev-ru.1gb.ru/private/add_log.php
- hxxp : //fsdf2tvwev-ru.1gb.ru/private/reg.php
- hxxp : //fsdf2tvwev-ru.1gb.ru/private/set_data.php
• 발견된 이후 위의 URL에 대한 통계에 따르면 이러한 링크의 클릭 수 / 방문 수는 캐나다에서 유입되어
이 ransomware가 가장 많이 확산되었을 가능성이 있는 위치를 나타냅니다.
• +190 [removed] 코드에 하드 코드된 전화 번호가 있습니다 (미국에 속함).
• 얼마전 카드 번호, 이름 및 날짜를 찾는 코드를 발견했습니다.
이 코드는 Neosash의 신용 카드인 Neocash를 위한 코드 일 수 있습니다.

 

• Ransomware에는 장치에 저장된 연락처 세부 정보를 추출하는 코드가 있습니다.

 

 

• 이 ransomware는 공격자가 받은 명령을 실행할 수 있는 기능을 가지고 있습니다.
- Shell 명령 실행
- 기기에서 SMS 메시지 가져 오기
- SMS 메시지 작성 및 보내기
- 장치 위치 가져 오기

 

Ransomware는 장치에 Codec Pack으로 설치되며, 이름을 기반으로 비디오를 호스팅하는 악성 웹 사이트를 통해 전파되지만, 사용자가 콘텐츠를 재생하려고 하면 오류가 표시 될 수 있습니다.
이 오류는 일반적으로 Codec Pack이 장치에 없을 경우 나타나며, 코덱을 설치하면 비디오가 재생됩니다.

 

안드로이드 운영체제를 사용하는 기기를 대상으로 하는 랜섬웨어는 최근 몇 년사이 크게 증가하고 있습니다.
이는 스마트폰만의 문제가 아니며, 동일한 운영체제를 사용하는 스마트TV, IPTV 셋톱박스, 차랑용

네비게이션 기기 등다양한 IoT 기기들도 모두 공격 대상이 될 수 있습니다.

 

Android의 Ransomware를 제거하는 방법은 다음과 같은 방법이 있습니다.

- ‘설정’의 ‘Android 기기 관리자’에서 부여된 관리자 권한을 취소한 후 설치된 랜섬웨어 앱을 제거할 수

있지만, 이 방법은 랜섬웨어가 기기를 잠그기 전에 이루어져야 합니다.
- 루팅된 Android 기기는 ADB(Android Debug Bridge)옵션을 이용하여 복구가 가능하지만, 숙련된 사용자나
개발자가 아닐경우 적용이 어렵다는 한계가 있습니다.
- 최후의 수단으로는 Android 기기를 공장 출고 상태로 초기화하는 방법입니다.
이 경우에는 사진, 비디오, 연락처 정보 등 기기의 모든 데이터가 삭제됩니다.

 

이러한 Ransomware에 대한 피해를 최소화하기 위한 방안으로는 다음과 같습니다.
– 공식 Google Play 스토어를 통해 기기에 앱을 설치하고 웹 사이트에서 직접 앱을 설치하지 않는 것이

좋습니다.
– 중요한 파일과 데이터는 따로 정기적으로 백업합니다.
– 이메일 등에 포함된 출처를 알 수 없는 첨부파일을 실행하지 않습니다.
– 백신 프로그램의 경우 항상 최신 버전으로 유지합니다.
– 앱 설치시 요구하는 권한을 주의깊게 확인하는 것이 중요합니다.

 

이번시간에는 Android Ransomware 관련 이슈에 대해 포스팅 하였습니다.
다음에도 유익한 정보를 올릴 수 있도록 하겠습니다.
감사합니다.