안철수연구소
데이터와 스마트폰 둘 다 잠그는 더블로커 랜섬웨어, 주의!
일취월장7
2017. 11. 23. 10:32
데이터와 스마트폰 둘 다 잠그는 더블로커 랜섬웨어, 주의!
- AhnLab
- 2017-11-22
스마트폰을 사용할 수 없도록 만들고 사용자에게 금전을 요구하는 모바일 랜섬웨어 ‘더블로커(DoubleLocker)’가 유포되었다. 해당 악성코드는 스마트폰에 저장된 사용자 파일을 암호화하여 이를 인질로 삼는다.

이렇게 설치된 더블로커 랜섬웨어는 스마트폰 화면에 [그림 2]와 같은 랜섬노트를 표시하고 스마트폰을 사용할 수 없게 만든다. 즉, 사용자가 랜섬노트에서 요구하고 있는 금액의 비트코인을 지불하기 전까지 스마트폰 화면에서 랜섬노트 페이지를 제거할 수 없다. 

[그림 1] 악성 앱 아이콘
더블로커 랜섬웨어는 [그림 1]과 같이 ‘어도비 플래시 플레이어(Adobe Flash Player)’ 앱으로 위장했다. 해당 앱은 스마트폰에 설치 및 동작하기 위해 먼저 구글 플레이 서비스(Google Play Services) 사용을 설정하도록 요구한다. 만일 사용자가 구글 플레이 서비스를 사용하지 않음으로 설정할 경우, 반복적으로 서비스 설정 창을 노출해 사용자의 허가를 유도한다.
이렇게 설치된 더블로커 랜섬웨어는 스마트폰 화면에 [그림 2]와 같은 랜섬노트를 표시하고 스마트폰을 사용할 수 없게 만든다. 즉, 사용자가 랜섬노트에서 요구하고 있는 금액의 비트코인을 지불하기 전까지 스마트폰 화면에서 랜섬노트 페이지를 제거할 수 없다.
[그림 2] 더블로커 랜섬노트
더블로커 랜섬웨어는 스마트폰의 사용을 방해할 뿐만 아니라 스마트폰에 저장된 파일도 암호화하여 사용할 수 없게 한다. [그림 3]과 같이 스마트폰에 저장된 파일을 암호화한 후 파일의 확장자에 .cryeye를 덧붙인다.
[그림 3] 암호화된 파일
모바일 백신 ‘V3 모바일 시큐리티’는 더블로커 랜섬웨어를 아래와 같은 진단명으로 탐지하고 있다.
<V3 모바일 시큐리티 진단명>
- Android-Trojan/FakeInst
잘 알려진 바와 같이 랜섬웨어 감염에 의해 파일이 암호화된 경우, 공격자가 가지고 있는 복구키 없이는 거의 복호화할 수 없다. 따라서 랜섬웨어에 감염되지 않도록 사전에 주의하는 습관이 필요하다. 스마트폰의 랜섬웨어 예방을 위해서는 우선 V3 모바일 시큐리티와 같은 모바일 전용 백신 앱을 설치하는 것이 바람직하며, 평소 다음과 같은 스마트폰 보안 수칙을 준수하는 습관이 필요하다.
<스마트폰 보안 수칙>
1. 앱을 다운로드 할 때는 반드시 공식 스토어를 이용하고, 공식 스토어에서도 설치 전 평판 정보 등을 꼼꼼히 확인한다.
2. 앱을 설치하거나 의심스러운 파일을 다운로드 한 경우에는 반드시 악성코드 검사를 한다.
3. 앱을 설치할 때 과도한 권한을 요구하고 있지 않은지 꼼꼼하게 살핀다.
4. 이메일이나 문자 메시지에 있는URL은 신중하게 클릭한다.
5. 스마트폰용 백신(V3 Mobile Security 등)를 설치하고 항상 최신 버전으로 유지한다.
6. 스마트폰의 잠금 기능(암호 설정)을 이용해 다른 사용자의 접근을 막고 비밀번호를 수시로 변경한다.
7. 블루투스 기능을 켜놓으면 악성코드에 감염될 가능성이 높으므로 필요할 때만 켜 놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 중요한 정보를 잃어버리는 일이 생기지 않도록 한다.
10. 임의로 개조(탈옥, 루팅 등)하거나 복사 방지 등을 풀어서 사용하지 않는다.