보안

카스퍼스키랩, PC 및 안드로이드 타깃의 콜러 ‘폴리스’ 공격 경고

편집부 | ITWorld 2014.08.07
카스퍼스키랩(www.kaspersky.co.kr)이 안드로이드 기기를 대상으로 한 콜러 폴리스(Koler police) 모바일 랜섬웨어 악성 공격의 숨겨진 부분을 추가로 발견했으며, 이는 몇몇의 브라우저 기반 랜섬웨어 및 PC 사용자를 노린 익스플로잇 킷(exploit kit)을 포함하고 있다고 밝혔다.

7월 23일부터 이번 공격의 모바일 구성요소는 차단됐으며, 명령 및 제어 서버를 통해 모바일 피해자에게 ‘악성 코드 삭제’ 명령을 전송하기 시작하면서 효과적으로 악성 애플리케이션이 제거되고 있다. 그러나 PC 사용자를 대상으로 한 나머지 악성코드들이 여전히 활성화돼 있는 것으로 밝혀져 주의가 요구된다.

이번 공격은 피해자가 콜러 악성 코드 운영자가 관리하는 성인 웹사이트에 접속하는 것에서 시작된다. 악성코드가 성인 웹사이트를 이용한 것은 피해자 스스로 불법 성인물을 보는 것에 죄책감을 느끼고 있고 경찰에 의한 처벌 가능성을 인식하고 있기 때문이다. 이에 악성 코드는 피해자가 기기를 사용하지 못하도록 잠근 후 기기의 위치와 유형(모바일 또는 PC)에 따라 ‘경찰’을 빙자해 현지 언어로 금전 지불을 유도하는 메시지를 보여 준다.

주목할 점은 여러 시나리오에 따라 더 효율적인 수익화를 위해 성인 사이트에 접속한 사용자를 트래픽 분산 시스템을 활용해 악성코드가 배포되는 별도의 사이트로 이동시키는 지능적인 방법을 사용했다는 것이다.

성인 사이트에 접속한 기기가 모바일 기기일 경우, 웹사이트는 콜러 랜섬웨어( animalporn.apk) 앱의 설치를 유도한다. 일단 앱이 설치되면, 기기를 잠그고 ‘경찰’을 빙자해 100~300달러의 금전 지불을 요구한다.

피해자의 웹사이트 접속 정보를 조회해 ▲위치 정보 확인 ▲안드로이드 여부 ▲인터넷 익스플로러 사용 여부를 확인해, 사용자가 모바일 기기에서 접속한 것으로 판단되면, 실제 기기를 감염시키지는 않고 앞서 설명한 금전 지불을 유도하는 메시지 창을 보여 준다.

피해자가 인터넷 익스플로러를 사용하는 경우, 실버라이트, 어도비 플래시, 자바용 취약점을 악용해 공격하는 ‘앵글러 익스플로잇 킷’이 배포되는 웹사이트로 이동시킨다. 카스퍼스키랩의 분석 과정에서 이 취약점 악용 코드는 완벽하게 작동하는 것으로 확인됐다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.