2017.07.20 리커로커(LeakerLocker) 랜섬웨어

1. 개요

• 최근 구글 플레이 앱스토어에 등록된 앱을 통해 모바일 리커로커(LeakerLocker) 랜섬웨어 유포 정황이 확인됨

2. 내용

• 기사요약

• 미국 보안업체 맥아피(McAfee)의 연구원을 통해 구글플레이 앱스토어에서 랜섬웨어 형태의 악성코드가 심어진 두 개의 응용 프로그램이 발견됨
• 해당 랜섬웨어는 파일을 암호화하는 다른 랜선웨어와 달리 스마트기기 자체를 잠그고 개인 데이터를 장치에 저장된 모든 연락처에게 공유하는 형태임
• 랜섬웨어에 감염되면 스마트폰의 개인정보를 볼모로 72시간 내에 몸값을 지불하지 않으면 주소록의 모든 사람에게 데이터를 전송한다는 협박 메시지를 출력함
• 맥아피 분석 결과 실제로 모든 개인 정보가 읽히거나 유출되진 않고 신용카드 정보만 빼돌리는 것으로 확인됨(신용카드 정보 내역은 확인된 바 없음)

• 감염경로

• 구글 플레이 스토어
  - 웰페이퍼 블러 HD(Wallpapers Blur HD) : 스마트폰의 배경화면을 바꿔주는 앱
  - 부스트 앤드 클리너 프로(Booster & Cleaner Pro) : 스마트폰 성능 최적화 앱

• 증상 및 동작 내용

• 두 악성 응용 프로그램은 설치 시 전화, SMS 읽기 및 보내기, 연락처 액세스 등 관련 없는 권한을 요청하거나 모든 권한에 액세스하는 부가기능을 실행함
• 부팅이 완료되면 악성 활동을 시작하는 AlarmManager를 시작하며 장치의 화면을 잠그고 백그라운드에서 개인 정보에 액세스 시도
• 스마트폰에 저장된 아래의 개인정보 목록에 액세스 시도
• 이메일 주소 일부 연락처, Chrome 검색기록, 일부 문자 메시지 및 전화, 사진 등
• 피해자가 특정 URL에 접속하여 결제를 하도록 유도하고 신용카드 번호 입력 후 결제하면 번호를 결제 URL로 전송함