아주경제 장윤정 기자= 랜섬웨어가 모바일 기기로 대상을 확대했다. 

스마트폰으로 성인 사이트 등에 접속한 피해자의 위치정보를 기반으로 현지 언어로 된 맞춤형 메시지를 전달하는가 하면 경찰을 빙자해 금전 지불을 유도하기도 한다. 

랜섬웨어는 PC 등 디지털 기기의 데이터를 인질로 삼고 금전 지불을 요구하는 악성코드다. 

카스퍼스키랩(지사장 이창훈)이 안드로이드 기기를 대상으로 한 콜러 ‘폴리스’(Koler ‘police’) 모바일 랜섬웨어 악성 공격을 발견했다고 7일 밝혔다. 

이번 공격은 피해자가 콜러 악성 코드 운영자가 관리하는 성인 웹사이트에 접속하는 것에서 시작된다. 악성 코드가 성인 웹사이트를 이용한 것은 피해자 스스로 불법 성인물을 보는 것에 죄책감을 느끼고 있고 경찰에 의한 처벌 가능성을 인식하고 있기 때문이다.

이에 악성 코드는 피해자가 기기를 사용하지 못하도록 잠근 후 기기의 위치와 유형(모바일 또는 PC)에 따라 ‘경찰’을 빙자해 현지 언어로 금전 지불을 유도하는 메시지를 보여 준다.

주목할 점은 여러 시나리오에 따라 더 효율적인 수익화를 위해 성인 사이트에 접속한 사용자를 트래픽 분산 시스템을 활용해 악성 코드가 배포되는 별도의 사이트로 이동시키는 지능적인 방법을 사용했다는 것이다.

즉, 성인 사이트에 접속한 기기가 모바일 기기일 경우, 웹사이트는 콜러 랜섬웨어인 animalporn.apk 앱의 설치를 유도한다. 일단 앱이 설치되면 기기를 잠그고 ‘경찰’을 빙자해 100~300달러의 금전 지불을 요구한다.

이 악성코드는 피해자의 웹사이트 접속 정보를 조회해 △위치 정보 확인 △안드로이드 여부 △인터넷 익스플로러 사용 여부를 확인, 사용자가 모바일 기기에서 접속한 것으로 판단되면 실제 기기를 감염시키지는 않고 앞서 설명한 금전 지불을 유도하는 메시지 창을 보여 준다.

또 피해자가 인터넷 익스플로러를 사용하는 경우, 실버라이트, 어도비 플래시, 자바용 취약점을 악용해 공격하는 ‘앵글러 익스플로잇 킷’이 배포되는 웹사이트로 이동시킨다. 카스퍼스키랩의 분석 과정에서 이 취약점 악용 코드는 완벽하게 작동하는 것으로 확인됐다.

카스퍼스키랩은 랜섬웨어 공격에 대처하는 방법으로 △경찰은 금품을 요구하지 않으므로 절대 지불해서는 안 된다 △웹사이트 검색 중에 설치를 유도하는 알 수 없는 안드로이드 앱은 절대 설치하지 않는다 △신뢰하지 않는 웹사이트를 방문하지 않는다 △신뢰할 수 있는 안티 바이러스 솔루션을 사용한다.

카스퍼스키랩은 이번 랜섬웨어 악성 코드를 Trojan.AndroidOS.Koler.a로 탐지하고 있다.