구글 플레이에서 Charger Android Ransomware 발견 소식 및 삭제 조치

꿈을꾸는 파랑새

구글에서 안드로이드 사용자들이 어플을 다운로드를 하는 곳인 Google Play에서 Charger이라는 랜섬웨어가 발견이 되어서 해당 랜섬웨어를 삭제를 했다고 하는 소식입니다. 해당 어플 이름은 EnergyRescue이라는 배터리 절약을 도와주는 애플리케이션으로 등록돼 있었고 해당 EnergyRescue를 설치를 했을 때는 문자 메시지와 연락처 목록들을 해당 EnergyRescue을 제작한 악의적인 목적이 있는 사람으로 정보가 유출되는 문제입니다.

그리고 정상적으로 감염되며 해당 돈을 지급하지 않을 때에는 인터넷에 그냥 퍼뜨리겠다고 협박을 하는 메시지를 가지고 있습니다. 해당 메시지는 다음과 같습니다.

You need to pay for us, otherwise we will sell portion of your personal information on black market every 30 minutes. WE GIVE 100% GUARANTEE THAT ALL FILES WILL RESTORE AFTER WE RECEIVE PAYMENT. WE WILL UNLOCK THE MOBILE DEVICE AND DELETE ALL YOUR DATA FROM OUR SERVER! TURNING OFF YOUR PHONE IS MEANINGLESS, ALL YOUR DATA IS ALREADY STORED ON OUR SERVERS! WE STILL CAN SELLING IT FOR SPAM, FAKE, BANK CRIME etc… We collect and download all of your personal data. All information about your social networks, Bank accounts, Credit Cards. We collect all data about your friends and family

관련글

이렇게 스마트폰에 있는 개인 정보들을 유출하도록 하는 유형의 Ransomeware는 최근에는 Doxware이라고 합니다. Doxware 랜섬웨어는 최신 버전의 랜섬웨어로 실제로 감염이 되면 매우 위험해집니다. 해당 Doxware 랜섬웨어는 Dexxing에서 이름이 유래한 랜섬웨어 입니다. 그리고 Dexxing이라는 기본적으로 사생활 정보들인 이름, 주소, 전화번호, 주민등록번호)등을 검색하는 행위 즉 우리에게는 신상 털기입니다.

이것이 결합하여 탄생한 것이 Doxware 랜섬웨어입니다.

기본적으로 Doxware 랜섬웨어는 스마트폰에 있는 파일들도 암호화하고 난 뒤 개인 정보들을 수집하기 시작을 합니다. 그리고 이렇게 수집된 개인 정보를 서버에 업로드 하고 나서 돈을 내지 않으며 해당 개인정보들이 유포하겠다고 협박을 하며 아마도 민감한 사진들이 많이 들어 있는 분들 등을 다루고 있거나 소지를 하는 분들에게는 치명적 랜섬웨어가 될 수가 있지 않을까 생각이 됩니다.
유포하는 방법은 악성 행위를 하지 않는 앱을 Google Play 스토어 보안 검사를 우회해서 등록한후 해당 어플을 설치를 하고 나서 사용자에게 관리자 권한을 요구하는 앱니다. 그러나 Charger 같은 경우에는 EnergyRescue에 함께 포함이 돼 있습니다. 그리고 Google의 탐지 엔진이 검사할 수가 없는 암호화 된 리소스를 사용해서 업로드를 하며 그리고 해당 개인 정보를 훔쳐가는 것을 눈치채지 못하게 하려고 쓸모없는 명령어도 함께 포함이 되어 있습니다.

그리고 해당 Charger는 안드로이드 에뮬레이터 내어서 실행되는지 확인을 하고 안드로이드 에뮬레이터에서 실행하며 악성코드는 작동을 중지 기능도 포함돼 있습니다. 그리고 조금 특이한 것은 동유럽 즉 러시아, 우크라이나, 벨라루스 같은 나라의 스마트폰을 가지는 사람에게는 감염되지 않도록 하는 기능이 돼 있습니다.

그러면 해당 제작한 곳은 해당 동유럽에 사는 사람이라는 것을 간단하게 유추할 수가 있고 잡히더라도 최소한 자국에서 기소되거나 아니면 국가 간에 송환되는 것을 막으려고 해당 국가들 사람들이 작동하는 스마트폰에서는 감염되더라도 동작이 하지 않습니다.

이러한 랜섬웨어 같은 것에 감염되기 싫으며 최소한 백신프로그램은 설치하고 최신 업데이트,실시간 감시 기능을 사용하여야 하면 특히 블랙마켓 즉 인터넷에서 정상적인 출처가 아니면 설치를 하는 것을 피해야지 이런 피해를 줄일 수가 있을 것입니다.

이 글을 공유합시다

facebook twitter googleplus kakaostory naver

본문과 관련 있는 내용으로 댓글을 남겨주시면 감사하겠습니다.

  1. Favicon of https://dragonphoto.tistory.com 드래곤포토 2017.01.27 12:44 신고

    즐거운 설연휴 보내세요