울지않는벌새 : Security, Movie & Society

안드로이드 랜섬웨어(Ransomware) "Porn Droid" 감염 주의 (2015.6.4)

벌새::Analysis

PC 환경에서 이메일 첨부 파일 또는 특정 웹 사이트 접속시 취약점(Exploit)을 이용한 자동 감염 방식으로 감염되어 문서, 그림, 동영상 등의 파일을 암호화하여 금전을 요구하는 랜섬웨어(Ransomware)가 활발하게 활동하고 있습니다.

 

그런데 안드로이드(Android) 기반 스마트폰 환경에서도 모바일 랜섬웨어(Ransomware) 감염으로 인하여 기기 사용 불능, 파일 삭제 및 암호화를 통한 금전을 요구하는 피해 사례가 확인되어 살펴보도록 하겠습니다.

  • pornvideo.apk (SHA-1 : 0f25cefa85a0822a08ad23caca24a622fbf4aef0) - AhnLab V3 Mobile : Android-Trojan/Koler.876d, Kaspersky : HEUR:Trojan-Ransom.AndroidOS.Svpeng.f
  • pornvideo.apk (SHA-1 : 83fba6db2db66ce3c51ee5d5ff68f6e363f931da) - AhnLab V3 Mobile : Android-Trojan/Koler.876d, 알약(ALYac) : Trojan.Android.Ransom.Koler

대표적인 감염 방식으로는 사용자가 해외 성인 동영상 다운로드를 목적으로 제공되는 APK 파일을 실행하여 설치될 수 있는 "Porn Droid" 랜섬웨어(Ransomware)가 있습니다.

  • android.permission.WRITE_EXTERNAL_STORAGE
  • android.permission.DISABLE_KEYGUARD
  • com.android.browser.permission.READ_HISTORY_BOOKMARKS
  • com.sec.android.app.sbrowser.operatorbookmarks.permission.READ_HISTORY_BOOKMARKS
  • android.permission.PROCESS_OUTGOING_CALLS
  • android.permission.PROCESS_INCOMING_CALLS
  • android.permission.RESTART_PACKAGES
  • android.permission.RECEIVE_SMS
  • android.permission.CAMERA
  • android.permission.GET_TASKS
  • android.permission.GET_ACCOUNTS
  • android.permission.SYSTEM_ALERT_WINDOW
  • android.permission.ACCESS_WIFI_STATE
  • android.permission.CHANGE_NETWORK_STATE
  • android.permission.CHANGE_WIFI_STATE
  • android.permission.WRITE_SETTINGS
  • android.permission.KILL_BACKGROUND_PROCESSES
  • android.permission.READ_CONTACTS
  • android.permission.RECEIVE_BOOT_COMPLETED
  • android.permission.READ_PHONE_STATE
  • android.permission.INTERNET
  • android.permission.WAKE_LOCK
  • android.permission.ACCESS_NETWORK_STATE

PornPro 애플리케이션이 요구하는 권한을 살펴보면 웹 브라우저 사용 내역, 사진/동영상 촬영, 실행 중인 애플리케이션 검색 및 프로세스 종료 등의 기능을 수행할 수 있습니다.

최초 설치가 완료된 후 PornPro 바로가기 아이콘이 생성되지만 사용자가 앱 실행을 진행할 경우 자신의 존재를 숨기기 위해 아이콘을 삭제 처리합니다.

실행된 PornPro 악성앱은 구글(Google) 업체에서 제공하는 것처럼 사용자를 속이는 "Update patch installation" 화면을 생성하여 계속(Continue) 버튼을 클릭하도록 유도하며, 사용자가 클릭할 경우 시스템 레벨의 기기 관리자 권한을 획득하려고 시도(Android require administrator action)합니다.

결과적으로 다음 단계에서는 "Porn Droid"에 대한 기기 관리자 활성화를 요구하며, 이를 통해 모든 데이터 삭제(공장 초기화), 화면 잠금해제 비밀번호 변경, 저장소 암호화 설정(데이터 암호화) 기능을 수행할 수 있게 됩니다.

만약 사용자가 기기 관리자 활성화를 허용한 경우에는 비활성화를 시도할 경우 차단하여 감염된 애플리케이션 삭제를 진행할 수 없도록 방해합니다.

이후 단계에서는 화면 상으로는 "onlyfor18.info" 웹 서버로 자동 연결을 시도하여 정상적으로 설치가 완료되었음을 표시하고 있습니다.

성공적으로 설치된 PornPro 악성앱은 일정 시간이 경과하면 FBI 경고창이 생성되어 사용자의 스마트폰 기기를 검사한 결과 법적으로 금지된 포르노 사이트 접속 행위가 확인되었다는 내용을 통해 $500의 벌금을 납부해야 한다는 식으로 사용자를 협박하기 시작합니다.

 

또한 표시된 화면에서는 법적 근거 조항, 페이팔(PayPal)을 통한 금전 입금 등의 정보가 포함되어 있습니다.

특히 생성된 창에서는 사용자 스마트폰에서 추출한 IMEI 식별 번호, 계정(이메일 주소), 스마트폰 기기 기종, 국가, 최근 방문한 웹 사이트 URL 주소가 포함되어 있으며, 실제 스마트폰에 저장되어 있지 않은 수간(獸姦, Zoophilia), 아동 포르노 사진을 표시하여 협박을 합니다.

 

위와 같은 FBI 경고창을 통한 스마트폰 기기 사용을 불가능하도록 하는 "Porn Droid" 모바일용 랜섬웨어(Ransomware)는 다음과 같은 기능을 수행할 수 있습니다.

  1. 웹 브라우저의 북마크, 방문 내역 정보에 접근하여 화면 상에 표시할 수 있습니다.
  2. avast!, Dr.Web, ESET와 같은 특정 모바일 백신 설치 여부 체크 및 진단 우회
  3. PornPro 악성앱으로부터 빠져나올 수 없도록 Keyguard(락스크린) 기능 무력화
  4. 스마트폰에 저장된 데이터 삭제 및 관리자 접근 비활성화
  5. 전면 카메라를 이용한 사진/동영상 촬영
  6. C&C 서버로 수집된 정보 전송
  7. 가짜 FBI 경고창 생성을 통한 금전 요구

PornPro 악성앱이 실행된 후에는 "facebook-tw.zp.ua" C&C 서버로 IMEI 식별 번호, 전화번호, 국가 정보, 안드로이드 버전 등의 정보를 전송할 수 있습니다.

FBI 경고창이 생성된 상태에서는 홈(HOME) 화면 또는 스마트폰 잠금 기능이 동작하지 않으며, 설치된 PornPro 애플리케이션(패키지 이름 : com.nrrgsee.esckte)을 삭제할 수 없습니다.

 

또한 안전 모드에서 기기 관리자 비활성화를 통한 PornPro 악성앱을 제거할 수 있을지라도 일부 데이터는 파일 암호화를 통해 사용할 수 없는 문제가 발생할 가능성도 존재합니다.

 

그러므로 해외 성인 사이트에서 제공하는 APK 파일을 다운로드하여 애플리케이션을 설치하는 일이 없도록 각별히 주의하시기 바랍니다.