보안 / 스마트폰 / 안드로이드

클릭재킹 이용하는 신규 안드로이드 랜섬웨어 주의보

Lucian Constantin | IDG News Service 2016.01.28
안드로이드 디바이스 내의 파일을 암호화하는 랜섬웨어 앱이 점점 더 정교해지고 있다. 최근 발견된 새로운 랜섬웨어는 클릭재킹(clickjacking) 수법을 이용, 사용자를 속여서 관리자 권한을 획득하는 것으로 알려졌다.

클릭재킹은 사용자 인터페이스를 조작해서 사용자가 무심코 클릭하게 만드는 수법이다. 보이지 않는 버튼을 만들어서 겉으로는 아무 이상이없는 것 처럼 보이는 페이지 요소에 위치시키는 다양한 기술이 통하는 웹 기반 공격에 많이 사용된다.

안드로이드의 엄격한 앱 승인 시스템 때문에, 지금까지 안드로이드를 목표로한 랜섬웨어 앱은 상대적으로 윈도우보다 영향력이 적었다. 예를 들어, 초기의 많은 안드로이드 랜섬웨어 위협은 사용자에게 가짜 벌금을 내라고 협박하기 위한 용도의 알림창을 띄우는 정도였다. 대부분은 법 집행 기관을 사칭하고 해당 디바이스 내의 불법 콘텐츠 때문에 잠겼다고 주장하는 형식이었다.

시간이 지날수록 더 공격적인 변종이 나타나서 스토리지 파티션 내의 파일을 암호화하고 삭제하기 어렵게 만들어졌다.

랜섬웨어가 의도대로 작동하기 위해서는 “디바이스 관리자” 접근 권한이 필요하다. 이를 위해서는 앱이 설치된 이후 실제 디바이스의 주인이 ‘디바이스 관리자 활성화’ 대화창을 통해 확인해야 한다.

사용자의 승인을 얻기 위해, 승인된 앱처럼 가장한 대부분의 랜섬웨어 앱은 소셜 엔지니어링 기법을 이용한다. 예를 들어서, 앱의 특정 기능을 이용하려면 더 높은 단계의 권한이 필요하다고 주장하는 것

시만텍에 따르면, 랜섬웨어 제작자들은 이러한 수법을 한 단계 더 진화시켰다. Android.Lockdroid.E 라고 불리는 새로운 랜섬웨어는 안드로이드 앱이 실행할 수 있는 다른 종류의 창을 악용하는 것이다.

이 앱이 설치되면 Lockdroid.E 랜섬웨어는 디바이스 관리자 활성 창을 열면서, 추가 구성요소가 제대로 설치되지 않았다는 에러 창(TYPE_SYSTEM_ERROR)을 띄운다. 이 에러 창은 제일 위에 표시되어 관리자 승인 창을 덮어 버린다.

몇 초가 지나면 TYPE_SYSTEM_OVERLAY를 이용한 다른 창이 나타나는데, 이것 역시 디바이스 관리자 대화창을 덮어 버린다. 이 두번째 창에는 “설치 완료”라는 메시지와 “계속” 버튼이 포함되어 있다.

TYPE_SYSTEM_OVERLAY 창은 탭 같은 사용자 인터페이스를 받게끔 설계되지 않았기 때문에 이 “계속” 버튼은 가짜다. 하지만 이 창 뒤에 숨겨진 관리자 대화창의 “확인” 버튼과 같은 위치에 있어서, “계속” 버튼을 누르면 이 “확인” 버튼이 눌리는 셈이다.

안드로이드 5.0(롤리팝) 이후부터는 이 랜섬웨어가 악용한 2개의 대화창이 열렸을 때 한 대화창이 나머지 하나를 완전히 덮는 형태가 구현되지 않는다. 하지만 현재 안드로이드 디바이스 중 5.0 이전 버전이 차지하는 비율이 2/3나 되기 때문에 대부분의 사용자가 이 랜섬웨어에 피해를 입을 가능성이 있다.

시만텍 측은 “이 악성 앱은 구글 플레이에서 찾을 수 없으며, 아마도 서드파티 앱 스토어나 포럼, 토렌트 사이트를 통해 배포되고 있다. 구글 플레이를 설치한 사용자들은 구글 플레이 외부에서 앱을 다운로드하더라도 베리파이 앱(Verify Apps)을 통해서 보호받을 수 있다”고 설명했다. 이어 시만텍은 신뢰할 수 있는 앱 스토어에서만 앱을 다운로드 받을 것을 권장했다. editor@itworld.co.kr
Sponsored
IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.