랜섬웨어는 데스크탑 컴퓨터 외에 모바일 기기에서도 발견되며 발견빈도 또한 증가추세에 있다. 랜섬웨어의 유형으로는 데이터를 암호화시키고 복구대가로 돈을 요구하는 cryptolocker 랜섬웨어 그리고 운영체제나 브라우저 등 어플리케이션 접근을 차단하고 차단해제에 대해 돈을 요구하는 blocker 랜섬웨어가 있다. 현재 데스크탑 플랫폼에서는 blocker 랜섬웨어는 비교적 소수에 그치는 반면 금전갈취에 더욱 효율적이라고 알려진 cryptolocker 랜섬웨어가 많이 퍼지고 있는 상황이다.


반면 모바일 플랫폼의 경우 안드로이드 운영체제와 앱이 클라우드 백업을 동반하며 따라서 데이터 암호화에 따른 이득이 그만큼 적기 때문에 안드로이드 cryptolocker 랜섬웨어는 거의 전무하다시피 하고 blocker 랜섬웨어가 훨씬 널리 사용된다.  모바일 기기에서 blocker 랜섬웨어는 모든 앱의 인터페이스를 자체적으로 조작하여 피해자가 사용 가능한 어플리케이션이 없게 만들어 버린다. PC의 경우 blocker 랜섬웨어가 있다면 하드드라이브를 분리하여 다른 컴퓨터에 연결한 다음 blocker 파일을 제거해 버리면 그만이다. 하지만 휴대전화의 경우 기본 저장공간이 마더보드에 부착돼 있기 때문에 컴퓨터처럼 쉽게 분리할 수는 없다. blocker 랜섬웨어가 전체의 99%를 차지하는 건 바로 이 때문이다.



주요 모바일 랜섬웨어


2014-2015년 모바일 랜섬웨어 주요 4종은 Svpeng, Pletor, Small, Fusob였다. 오늘날 Pletor 랜섬웨어는 정체된 상태며 해당 제작자들은 새로 선보인 Acecard 트로이목마에 집중하고 있는 상황이다. Svpeng 또한 현재는 주춤한 상태로 해당 제작자들은 금융 트로이목마에 집중하고 있다. 이에 따라 2015-2016년에는 Small 그리고 Fusob 랜섬웨어가 전체의 93%를 차지하고 있다.



Fusob와 Small은 관계당국의 서명과 피해자의 과실 주장을 조작한 화면을 표시하고 피해자가 돈을 지불하지 않으면 형사사건으로 입건된다고 협박하는 등 공통점도 많다. 하지만 차이점이 더욱 극명한데 예를 들어 결제 방식을 보면 Fusob은 iTunes 기프트카드 결제를 요구하며 Small의 경우 Kiwi 결제시스템이나 MoneyPak xpress Packet voucher 결제옵션을 제시한다. 양자 모두 러시아어권 제작자에 의해 만들어졌으나 기획방향은 상당히 다른데 그 구체적인 내용은 다음과 같다.


Fusob은 피해자 기기의 언어를 조사하여 구소련 연방에서 사용됐던 언어에 해당하면 아무런 행동도 하지 않는 반면 다른 언어에 해당할 경우 NSA임을 자처하며 100~200달러 가량의 돈을 요구한다. Fusob 피해자의 주요 거주지는 독일이며(41%) 영국과 미국이 각각 14.5%와 11.4%로 2위와 3위를 차지하고 있다.



Small의 경우 반대로 Fusob가 기피하는 러시아, 카자흐스탄, 우크라이나에서 99% 가까이 발견된다. Small 랜섬웨어는 정부에서 발행한 듯 보이는 안내문에 결제안내, 협박, 700~3500루블(10~50달러) 금전요구 등의 내용을 담고 있다. 영문 버전의 경우 화면 모양이 약간 다르고 FBI를 사칭하면서 300달러 가량을 요구한다. 이 외에 cryptolocker 유형으로 기본 버전과 동일하지만 SD 카드 파일도 암호화하는 변종이 있고 금전탈취, 데이터탈취, 기기잠금 등 여러 기능을 가진 트로이목마 변종도 있다.



모바일 랜섬웨어 향후 전망


모바일 맬웨어는 처음 등장할 때만 해도 큰 관심을 받지 않았지만 오늘날 엄청난 기세로 성장하고 있으며 모바일공격은 2014년에 비해 4배 가까이 증가했다. 모바일 랜섬웨어 피해자 또한 2.04%에서 4.63%로 두 배가 늘었다. 2015년 모바일 랜섬웨어의 최대 표적은 미국이었으며 당시 모바일 피해자 10명 중 1명은 모바일 랜섬웨어에 노출됐다. 오늘날 이 비중은 대폭 늘어서 독일과 캐나다의 경우 10명 중 2명, 영국과 미국 그리고 카자흐스탄은 7명 중 1명, 이탈리아와 네덜란드의 경우 10명 중 1명이 모바일 랜섬웨어를 접했다고 한다. 앞으로도 특히 랜섬웨어를 중심으로 모바일 맬웨어가 더욱 기승을 부릴 전망이다.



모바일 랜섬웨어 방지요령


1. 구글플레이와 같은 공식 채널을 통해서만 어플리케이션 설치. 안드로이드 보안설정을 통해 알지 못하는 출처를 통한 앱 설치를 차단해야 한다.

2. 펌웨어와 어플리케이션을 주기적으로 업데이트한다. 앱의 경우 자동 업데이트가 가능하지만 시스템은 수동으로 업데이트를 직접 해야 한다.

3. 강력한 보안솔루션 사용. 맬웨어는 구글플레이와 같은 공식채널에도 잠입할 수 있으며 미식별 취약점을 파고드는 취약점악용도 가능하기 때문에 별도의 보안솔루션이 필요하다.


<참고: 카스퍼스키 안티바이러스 상세정보>




John Snow, Ransomware on mobile devices: knock-knock-block, 6. 29. 2016.

https://usblog.kaspersky.com/mobile-ransomware-2016/7346/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.08.02 14:44

위로가기