Home > 전체기사
안드로이드 생태계에서 새롭게 등장한 랜섬웨어, 말락커
  |  입력 : 2020-10-12 17:53
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
안드로이드 랜섬웨어는 협박 편지로 화면 가려 조작 불능 상태 만드는 게 목적
말락커, 새로운 전략으로 협박 편지 나타내 탐지율 낮춰...머신러닝 사용하기도


[보안뉴스 문가용 기자] 안드로이드 생태계에 새로운 랜섬웨어가 등장했다. 이름은 말락커(MalLocker)로 안드로이드 기반 모바일 장비들을 잠근 후 사용자가 ‘홈 버튼’을 누르면 화면에 협박 편지를 띄운다고 한다.

[이미지 = utoimage]


이 랜섬웨어를 발견한 마이크로소프트(Microsoft)에 의하면 말락커는 악성 웹사이트의 다운로드 파일을 통해서 퍼져가고 있다고 한다. 주로 인기 높은 앱이나 크랙 된 게임, 영상 플레이어 따위로 위장되어 있다. 말락커의 가장 큰 특징은 개발자들의 악의가 뚜렷하고 고급 기능을 가지고 있다는 것이다. 그 고급 기능 때문에 탐지율도 매우 낮다.

안드로이드 랜섬웨어는 데스크톱 랜섬웨어와 달리 잠금화면에 협박 편지를 겹쳐 띄워 피해자가 장비 자체에 접근하지 못하도록 하는 것일뿐, 파일을 암호화하는 사례는 그리 많지 않다. 이벌 말락커의 경우, 안드로이드 장비의 홈 버튼 기능을 통해 발동된다는 듣도 보도 못한 특징을 지녔다. 또한 머신러닝 모듈을 탑재해 편지가 자동으로 화면 크기에 맞게 조정된다.

마이크로소프트의 전문가들은 “일반적으로 발견되는 안드로이드 랜섬웨어는 ‘SYSTEM_ALERT_WINDOW’라는 특수한 권한을 활용한다”고 설명한다. 주로 협박 편지를 이 권한과 엮음으로써 피해자가 못 읽고 지나치는 일이 없도록 하는 것이다. “긴급 사항을 사용자들에게 알리기 위해 만들어진 이 권한을 활용하니 언제나 협박 편지가 가장 위 화면에 뜨게 됩니다. 그러니 사용자로서는 장비를 조작할 수도 없게 됩니다.”

그러나 말락커는 조금 다르다. 마이크로소프트에 의하면 “말락커는 안드로이드가 지원하는 여러 항목의 알림 기능 중 call을 활용한다”고 한다. “call이라는 알림 기능은 사용자의 즉각적인 관심을 끄는 것을 목적으로 하고 있습니다. 여기에 onUserLeaveHint()라는 콜백 메소드까지 같이 활용합니다. 그렇기 때문에 안드로이드 사용자들이 앱을 닫거나 홈 키를 누를 때 나오는 전형적인 GUI 화면까지도 사용할 수 있게 됩니다. 즉, 장비 내에서 진행되는 모든 서비스들을 능동적으로 배경으로 보내고 협박 편지를 띄운다는 겁니다.”

또한 멀웨어는 알림 빌더(notification builder)를 생성하고 대단히 중요한 알림을 만들어 특별한 권한을 부여하기까지 한다. 이 때 사용되는 것이 setFullScreenIntent()라고 하며, 이를 GUI와 결합해 사용자가 장비를 조작하려고 할 때 화면에 띄운다.

마이크로소프트의 연구원들이 주목한 것은 말락커의 머신러닝 모듈이기도 하다. “안드로이드 랜섬웨어가 지속적으로 변하고 있다는 것을 가장 핵심적으로 보여주는 증거”이기 때문이다. “여태까지의 패턴을 보건데, 말락커도 계속해서 변종을 탄생시킬 것이며, 새 변종이 등장할 때마다 여러 발전상은 드러낼 것입니다. 즉, 위에서 언급한 각종 새로운 기술과 전략들을 정교하게 가다듬어 더 고급스러운 멀웨어가 될 거라는 뜻입니다.”

이번에 탑재된 머신러닝 모듈은 오픈소스로 공개된 머신러닝 모듈을 기반으로 하고 있으며, 이번 말락커 버전에 한해서는 협박 편지를 사용자의 장비에 맞게 자동으로 크기 조정을 하는 데에 그치고 있다. “하지만 PC 멀웨어와 달리 협박 편지의 기능성이 거의 전부인 안드로이드 랜섬웨어에서는 이것이 핵심입니다. 결코 가볍게 봐서는 안 되는 부분입니다.”

MS는 “이렇게 함으로써 같은 랜섬웨어 안에서도 플랫폼과 환경에 따라 여러 가지 새로운 유행이 생겨나는 것”이라며 “방어자들과 공격자들의 머리싸움은 무한동력처럼 지치지 않고 끝없이 굴러갈 것”이라고 설명했다. 또한 “이번 멀웨어에서 발견된 특징은, 그 자체로 위협적이라기보다 공격자들이 방어막을 우회하는 새 전략 하나가 들통 났다는 것에 큰 의미가 있다”고 덧붙였다.

3줄 요약
1. 말락커라는 새로운 랜섬웨어가 안드로이드 생태계에 등장.
2. 안드로이드 랜섬웨어는 협박 편지로 화면 조작을 불가능하게 하는 게 관건.
3. 공격자들은 기존 방식과 다른 전략과 머신러닝 들고 나와 협박 편지 노출시킴.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상