[아이티데일리] 안드로이드 기기의 데이터를 암호화한 후 기기를 잠그는 새로운 안드로이드용 랜섬웨어가 발견돼 사용자의 각별한 주의가 요구된다.

16일 이셋(ESET)은 자사 제품에 장치의 PIN 번호를 변경하고, 저장된 데이터를 암호화해 몸값을 요구하는 랜섬웨어 ‘더블락커(DoubleLocker)’가 탐지됐다며 이같이 밝혔다.

‘Android/DoubleLocker.A’로 진단된 이 랜섬웨어는 안드로이드 운영체제의 접근성 서비스를 악용 하는 것으로 알려진 뱅킹 트로이 목마를 기반으로 제작됐다. 하지만 사용자의 은행 계좌 정보를 수집하고 계정을 삭제하는 등의 기능은 없는 것으로 확인됐다.

‘더블락커’는 주로 감염된 웹 사이트를 통해 가짜 ‘어도비 플래시 플레이어(Adobe Flash Player)’로 배포되며, 앱이 실행되면 접근성 서비스인 ‘구글 플레이 서비스’가 활성화되도록 요청한다. 접근성 권한을 얻은 후 장치의 관리자 권한을 활성화하고 사용자의 동의 없이 기본 홈 애플리케이션인 런처로 설정돼 사용자가 홈 버튼을 클릭할 때마다 랜섬웨어가 활성화된다.

몸값은 0.0130 비트코인(약 6만 원)으로 설정됐으며 24시간 내에 지불돼야 한다는 것을 강조한다. 몸값이 지불되지 않으면 데이터는 암호화 된 상태로 유지되며 삭제되지는 않는다. 장치의 공장 초기화가 ‘더블락커’ 랜섬웨어를 장치에서 제거할 수 있는 유일한 방법이다. 그러나 루팅된 장치의 경우 PIN 번호 잠금을 우회할 수 있는 방법이 있지만, 이 방법을 사용하려면 장치가 잠기기 전에 디버깅 모드가 활성화돼 있어야 한다.

김남욱 이셋코리아 대표는 “장치를 잠그기만 하던 기존의 안드로이드용 랜섬웨어와는 달리 ‘더블락커’ 랜섬웨어는 장치 내의 데이터를 암호화하고 장치를 잠근 후 몸값을 요구하는 최초의 안드로이드용 램섬웨어”라며, “이제 랜섬웨어는 장치의 종류를 가리지 않고 감염되고 있으며 몸값을 요구하는 인질의 종류도 데이터의 암호화나 장치 잠금, 민감한 정보를 폭로하겠다는 협박 등 더욱 다양해지고 있어, 검증되지 않은 사이트 방문이나 앱 설치를 자제하고 성능이 확인된 보안 솔루션을 적절히 사용하는 것이 매우 중요하다”고 말했다.