Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보WannaCry의 GUI를 모방한 안드로이드 SLocker 랜섬웨어
작성일 2017-08-02 조회 1105

개요

 2016년에 안드로이드 랜섬웨어의 한 종류인 SLocker의 컴파일되지 않은 소스코드가 공개되었다. 이런 여파로 인해 2017년 5월경에 SLocker 새로운 변종만 하여도 400개 이상이 발견되었다. 이러한 변종중에는 WannaCry의 GUI를 모방한 랜섬웨어도 또한 존재 했는데 다행히도 처음 발견되고 5일 후 유포자 및 개발자가 체포되어 희생자 수는 많지 않다.

 

<그림 1 - Slocker GUI vs WannaCry GUI>

 

확인 내역

 이번에 발견된 변종 SLocker 랜섬웨어는 게임에서 사용되는 치트도구로 위장하여 희생자로 하게끔 설치하게 하였다. 기기에 설치가 되면 AES 암호화방식을 통한 파일등을 암호화한다. 몸값을 지불하는 방법은 <그림 2>와 같이 
Wechat, Alypay, QQ 등을 이용하여 전달하게 된다.

 

   <그림 2 -SLocker 랜섬웨어 지불 방식 유형>

 

 만약 몸값을 지불하면 설치됐을 때 발생된 난수를 기반으로 복호화키를 전달해주는데 실제로 복호화 방식은 상당히 간단하여 일반적인 보안 엔지니어의 경우엔 복호화 값을 계산 가능하다. APK파일내의 소스코드를 분석하면 <그림 3>과 같이 난수에 더해지는 값이 복호화 값 임을 알 수있다.

 

                                                                             <그림 3 - 복호화 소스코드>

 

실제로 그 값을 대입해보면 복호화가 진행되는 것을 확인할 수 있다<그림4>.

 

<그림 4 - 소스코드에 나타난 수식으로 복호화>

 

대응 방안

1) 최신의 백신으로 치료한다.

2) 출처를 알 수 없는 어플리케이션은 설치 하지 않는다.

3) SMS나 MMS의 의심스러운 링크는 접속하지 않는다.

4) 당사 IPS 장비에서는 아래의 패턴으로 탐지가 가능하다.

[21231] Android/Ransomware.SLocker.1842576

 

참고

http://blog.trendmicro.com/trendlabs-security-intelligence/slocker-mobile-ransomware-starts-mimicking-wannacry/

https://github.com/fs0c1ety/SLocker

http://thehackernews.com/2017/07/android-ransomware-source-code.html

https://virustotal.com/ko/file/200d8f98c326fc65f3a11dc5ff1951051c12991cc0996273eeb9b71b27bc294d/analysis/

 

첨부파일 첨부파일이 없습니다.
태그 WannaCry,Slocker, Android,Ransomware