Android의 WannaCry Copycat 관련 이슈

Ransomware는 최근 몇 주 동안 전문 용어로 사용되어 왔으며, 오늘 포스팅할 주제와 관련된
Ransomware Epidemic – WannaCry를 본 이후로 지난 몇 주 동안 폭발적으로 증가했습니다.
WannaCry의 유명세를 이용하려는 해커들이 많아졌는데,

오늘은 Android의 WannaCry Copycat 관련 이슈에 대해 포스팅 하겠습니다.

 

감염 경로는 다음과 같습니다.

 

설치 중에 앱에서 다음 권한을 요청합니다.
• 외부 Storage 읽기
• 인터넷
• Get tasks
• com.android.launcher.permission.read 설정
• 로그 읽기
• Access Wi-Fi status
• Wake lock
• 배경 화면 설정
• 네트워크 상태 액세스
• 휴대 전화 상태 읽기
• 오디오 설정 수정
• Mount unmount filesystems
• 구성 변경
• 외부 저장소 쓰기

 

설치 후 앱 폴더에서 앱이 사라지지만 새 아이콘이 lycorisradiata 라는 이름으로 표시됩니다.
이 아이콘은 붉은 거미 릴리의 식물 이름입니다.
그러나 이것은 새로운 앱이 아니며 다른 앱 아이콘이 있는 동일한 악성 앱입니다.

 

 

악의적인 앱이 기기의 배경화면을 아래 화면처럼 변경시킵니다.
이것들은 어떤 특별한 방법으로도 연결되어 있지 않습니다.

 

 

멀웨어는 Windows 시스템의 다른 인기있는 트랜스 코드와 마찬가지로 파일 끝에 확장자를

첨부하기 시작합니다.
또한 다음의 문자열이 첨부되었습니다.

 

 

아래에서 첨부할 문자열을 계산하는 코드를 볼 수 있습니다.

 

 

다른 앱을 열면 Ransomware가 경고 메시지를 표시합니다.
즉, 백그라운드에서 Ransomware를 푸시합니다.
이 메시지는 사용자에게 응용 프로그램이 종료되면 파일이 제거된다는 경고메시지를 표시합니다.
이는 피해자가 몸값(Ransom)을 지불하도록 악성코드가 사용하는 전술입니다.

 

 

Ransomware는 AES를 사용하여 시스템에서 파일을 암호화하기 시작하며, 시스템 파일을

사용하지 않도록 주의해야합니다.
궁극적으로 WannaCry가 전체화면을 덮기 위해 사용한 동일한 화면 레이아웃을 봅니다.

 

 

몸값으로 이 캠페인의 앱은 20위안 또는 40위안(1위안 약 0.15달러)을 요구합니다.

다음의 지불 방법을 허용합니다.
• QQ채팅
• Alipay
• WeChat

 

 

흥미로운 점은 다음과 같습니다.

 

• RMB의 몸값 요청 맬웨어
• 멀웨어는 biaozhunshijian.51240.com에 대한 연결을 열어 본질적으로 베이징에서 현재 시간을

보여줍니다
• 맬웨어는 QQ, Alipay 및 WeChat 형태로 지불을 허용합니다.
이 세 가지 응용 프로그램은 모두 중국에서 인기가 높습니다.
• 위의 내용은 이 캠페인의 목표와 이러한 악의적인 앱이 발생하는 곳을 알려줍니다.
• deleteDirWihtFile 함수는 다음과 같은 이름의 파일과 디렉토리를 피하기 위해 검사를 합니다 :
- Android
- com.
- miad
- baidunetdisk
- download
- dcim

 

전반적으로 이 Ransomware는 Wannacry의 인기를 자체 목표로 활용하려고 합니다.
인기있는 Wannacry lockscreen을 사용하여 희생자가 몸값을 지불하도록 유도합니다.
요구되는 몸값이 그다지 높지 않다는 사실과 함께, 공격자들은 빠른 수익을 내고자 하는 것처럼

보입니다.

 

* Wannacry가 Android 기기를 감염시킬 수 있습니까?
현재 상태 - 아니요.

 

Wannacry는 Windows 시스템에만 영향을 줄 수 있는 특정 Windows Exploit을 사용했습니다.
이렇듯 스마트폰에 있는 개인정보들을 유출하도록 하는 유형의 Ransomware를 최근에는

Doxware라고 합니다.
Doxware Ransomware는 최신 버전의 Ransomware로 실제로 감염이 되면 매우 위험해집니다.

 

유포하는 방법은 악성 행위를 하지 않는 앱을 Google Play 스토어 보안 검사를 우회해서 등록한 후
해당 어플을 설치하고 나서 사용자에게 관리자 권한을 요구합니다.

 

이러한 Android 모바일용 Ransomware에 대한 피해를 최소화하기 위한 방안으로는 다음과 같습니다.
- 백신프로그램을 설치하고 최신버전으로 항상 유지합니다.
- 또한 실시간 감시 기능을 사용합니다.
- 인터넷에서 정상적인 출처가 아닐 경우 설치하지 않습니다.

 

오늘은 Android의 WannaCry Copycat에 대한 포스팅을 하였습니다.
다음에도 유익한 자료 올릴 수 있도록 하겠습니다.
감사합니다.