본문내용 바로가기 메인메뉴 바로가기 하단내용 바로가기

최신동향

최신동향 상세보기
데이터 암호화 및 PIN 번호를 변경하는 안드로이드 랜섬웨어 발견2017.10.23
개요
 
  1. ESET, 안드로이드 운영체제의 접근성 서비스를 악용한 랜섬웨어 DoubleLocker 발견
     

  

주요내용

 

  • 접근성 서비스를 악용하는 뱅킹 트로이목마를 베이스로 만들어졌으나, 은행 정보 탈취 기능은 없는 것으로 밝힘
 
  1. (감염) 사용자가 관리자 권한을 승인하도록 유도하여 악성앱 실행
    - 감염된 웹 사이트를 통해 가짜 Adobe Flash Player로 위장하여 배포
    - 설치된 후, 악성앱의 접근성 서비스를 활성화하도록 유도
    - 접근성 서비스가 활성화 되면 해당 액세스 권한을 이용해 장치 관리자 권한 활성화
    - 관리자 권한을 통해 사용자 동의 없이 기본 홈 프로그램으로 등록
    - 어떤 방식으로도 우회할 수 없도록 사용자가 홈 버튼을 클릭할 때마다 랜섬웨어를 활성화
 
  1. (특징) 기존 안드로이드용 랜섬웨어와는 달리 화면 잠금이 아닌 파일 암호화 기능 수행
    - PIN번호는 어디에도 저장되어있지 않은 랜덤수로 변경되어 복구 불가능
    * 몸값을 지불할 경우에도 원격으로 PIN번호를 재설정하여 모바일 장치 잠금 해제만 가능
    - AES 알고리즘을 사용하여 메인 스토리지의 모든 파일을 암호화
<그림1. 암호화된 데이터 및 랜섬노트>
Check my payment, where to get bitcoin암호화된 데이터 및 랜섬노트
 
 
 
 

시사점

 

  • 데이터에 대한 주기적인 백업을 수행해야 하며, 검증되지 않은 사이트 방문이나 앱 설치를 자제하고, 성능이 확인된 보안 솔루션을 사용하는 것이 중요




[출처]
1. welivesecurity,, “DoubleLocker: Innovative Android Ransomware”, 2017.10.13.
2. Bleepingcomputer, “Android DoubleLocker Ransomware Activates Every Time You Hit Home Button”, 2017.10.13.


작성 : 침해대응단 탐지1팀
키워드 DoubleLocker , 랜섬웨어 , 안드로이드