랜섬웨어 흉내만 내는 새 안드로이드 멀웨어, 드로이드록

안드로이드 생태계를 위협하는 멀웨어가 새롭게 등장했다. 보안 기업 짐페리움(Zimperium)이 발견한 것으로, 이름은 드로이드록(DroidLock)이라고 한다. 이것에 감염되면 사용자는 자신의 휴대폰에 저장된 데이터에 접근하지 못하게 되며, 공격자는 그 기기를 통해 사용자를 염탐할 수 있게 된다. 즉 방금 전까지 나의 휴대폰이었던 것이, 남의 감시 도구로 탈바꿈 하는 것이다.

현재 드로이드록 감염 캠페인은 스페인의 안드로이드 사용자들을 대상으로 진행되고 있다고 짐페리움은 설명한다. “드로이드록은 피해자들의 장비를 완전히 장악하고 있으며, 얼른 보기에는 랜섬웨어와 매우 흡사한 방법으로 작동합니다. 데이터에 접근하지 못하게 하는 것도 비슷한데, 심지어 공격자에게 연락하라는 협박 메시지도 화면에 띄웁니다.”

하지만 랜섬웨어는 사용자의 파일을 암호화 함으로써 파일 접근을 차단하고, 드로이드록은 기능적으로 기기를 잠금으로써 파일 접근을 차단한다. 즉 파일 암호화까지 하지는 않는다는 의미다. 왜 랜섬웨어와 비슷하지만 다른 전략을 취하는 것일까? 피해자의 접근을 어떻게 차단할까?

드로이드록, 사용자를 어떻게 차단하나?

현재까지 조사된 내용에 따르면 드로이드록은 가짜 은행 사이트나 가짜 보안 업데이트 페이지 등을 통해 피해자들의 스마트폰을 감염시킨다고 한다. 주로 피해자들에게 APK 파일을 별도로 설치해야 한다는 식으로 접근하는데, 이 APK 파일이 사실은 드로이드록이다. 

침투에 성공한 드로이드록은 먼저 기기 내에서 관리자 권한을 획득한다. 이는 APK 파일을 설치하는 과정에서 이뤄진다. 관리자 권한을 드로이드록 운영자는 비밀번호를 변경하거나 화면 잠금 기능을 제어할 수 있게 된다. 기기를 초기화시킬 수도 있다. “또 가짜 업데이트 화면이나 경고 메시지 등으로 화면 전체를 덮기도 합니다. 그렇게 하면 피해자가 화면을 보고도 아무런 조치를 취할 수 없게 됩니다.”

그 외에도 진짜 화면 위에 가짜 화면을 덮는 오버레이 기술도 드로이드록에 탑재돼 있다. 피해자의 눈으로 보기에는 정상적인 휴대폰 화면이지만, 앱을 아무리 터치해도 작동하지 않는다. 투명한 막을 씌워(오버레이) 앱 클릭이 되지 않게 해두었기 때문이다. “원격에서 휴대폰을 제어하기도 합니다. 피해자가 뭘 시도하든 공격자가 원격에서 다 봉쇄시킬 수 있게 됩니다.”

왜 랜섬웨어 흉내 낼까?

파일을 암호화 하지 않을 뿐, 그 외 나머지는 전부 랜섬웨어와 비슷한데, 드로이드록 운영자가 그런 전략을 취하는 이유는 무엇일까? 짐페리움은 “심리전술일 가능성이 높다”고 분석한다. “피해자의 공포감을 극대화 하기 위함입니다. 그럼으로써 냉철한 판단을 하지 못하게 하는 것이죠. 게다가 랜섬웨어를 직접 개발하거나 대여하는 것보다, 위의 방법으로 비슷한 효과를 내는 게 더 저렴합니다. 운영자들은 애초에 랜섬웨어 공격을 싼 값에 하고 싶었던 것일 수도 있습니다.”

그렇다면드로이드록 운영자들은 랜섬웨어 공격자들처럼 ‘연락하라’는 협박 메시지를 보고 실제 연락을 취해온 피해자들로부터 돈을 받아냈을까? 짐페리움의 보고서에는 이 내용이 빠져 있다. 드로이드록의 공격을 받은 사람들이 돈을 요구 받았는지, 요구 받은 후에 실제 입금을 했는지 확인이 다 되지 않은 것으로 추정된다. 

“어쩌면 드로이드록 공격자들은 피해자들이 입금하는 것보다 더 큰 돈을 노린 것일 수도 있습니다. 피해자가 휴대폰에 접근하지 못하게 막아둔 뒤 협박 편지로 심리적 압박감을 높인 뒤, 실제로는 관리자 권한으로 온갖 데이터를 빼돌리는 게 드로이드록이 하는 일입니다. 그 ‘온갖 데이터’ 속에는 금융 정보도 포함돼 있습니다. 피해자들이 협상을 준비하냐 마냐로 시간을 보낼 때, 드로이드록 운영자들은 이런 금융 정보를 통해 더 많은 돈을 가져가거나, 더 큰 이득으로 이어질 수 있는 후속 공격을 준비할 수도 있습니다.” 짐페리움의 설명이다.

랜섬웨어인듯 아닌듯, 효율은 확실

이 모든 걸 종합했을 때 드로이드록은 “보다 적은 비용으로 랜섬웨어를 흉내 내고, 진짜 랜섬웨어보다 더 많은 이득을 거둘 수 있는 멀웨어”라고 결론을 낼 수 있다. 물론 모든 것이 이상적으로 잘 맞아떨어질 때의 이야기이긴 하다. 예를 들어 피해자로부터 계좌 정보를 훔쳤는데, 마침 그 계좌에 많은 돈이 입금돼 있다거나 하는 식으로 말이다. 

“랜섬웨어 공격자들도 데이터를 암호화시키는 것보다 외부로 빼돌리는 행위로 더 많은 돈을 벌기 시작한 지 오래입니다. 그러면서 아예 파일 암호화 단계를 건너뛰는 시도들도 있었지요. 드로이드록은 그것보다 한 단계 더 나간 버전이라고 볼 수 있습니다. 랜섬웨어 없이도 파일을 암호화 한 것과 같은 효과를 낼 수 있으며, 피해자들이 허둥대는 동안 진짜 돈이 될 정보들을 빼돌리는 전략을 선보였다고 할까요.” 짐페리움의 설명이다. 

최근 사용자들은 개인 장비 안에 업무용 데이터도 종종 저장하는 편이다. 그렇다는 건 기존 랜섬웨어보다 드로이드록 공격에 당했을 때 더 위험할 수 있다는 뜻이 된다. 랜섬웨어로 암호화 된 파일은 피해자는 물론 공격자 자신도 복호화 과정을 거쳐야만 열람할 수 있기 때문이다. 드로이드록처럼 파일 암호화 과정 없이 파일을 가져온 공격자는, 별도의 처리 없이도 그 내용을 볼 수 있게 된다. 그래서 짐페리움도 “이 공격을 통해 기업들이 기밀을 잃을 수도 있다”고 경고한다.

어떻게 방어하나?

드로이드록의 특징은 기술적 공격이라기보다 심리적 사기술에 가깝다는 것이다. 그렇다는 건 사용자들이 몇 가지 보안 사안만 잘 기억하면 충분히 방어가 가능하다는 의미가 된다. 드로이드록의 작동 방식을 되짚어보면 무엇을 주의해야 하며 어떤 걸 실천해야 하는지가 명확해진다.

1) APK 직접 설치는 자제한다 : 구글 플레이 스토어 외 다른 경로로 전달되는 APK를 중요한 장비에 설치하는 건 매우 위험한 행위다.

2) 피싱 링크를 구별해 피해간다 : 드로이드록은 문자 메시지나 왓츠앱 채팅, 이메일 등으로 퍼지는 것이 확인됐다. 택배사나 은행을 사칭할 때가 많다. 택배나 은행 관련 문자 메시지에 포함된 링크는 절대 클릭하지 않는 게 좋다.

3) 시스템 업데이트는 기기 설정 메뉴를 통해서만 한다 : 엉뚱한 사이트나 서비스에서 기기 업데이트를 한다는 메뉴가 뜬다는 건 누가 봐도 수상하다. 기기 설정 앱을 통해 적용될 업데이트가 있는지 확인한 후 진행 여부를 결정해도 늦지 않다. 

4) 앱 설치 시 어떤 권한을 요구하는지 항상 경계한다 : 모든 앱들은 설치 진행 중 권한을 요구한다. 그럴 때 사용자들은 기능을 발휘하기 위한 권한만 요구하는지, 지나치게 많은 권한을 요구하는지 검토해 차단할 것은 차단해야 한다.

5) 구글 플레이 프로텍트는 항상 켜둔다 : 플레이 프로텍트가 완벽한 보안 솔루션인 것은 아니. 하지만 악성 APK 탐지에는 어느 정도 도움이 된다. 이런 기본기 정도는 갖추고 생활하는 게 안전하다.🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

• Total Takeover: DroidLock Hijacks Your Device, Zimperium zLabs, 2024년
[1]
• New DroidLock Malware Locks Android Devices and Demands a Ransom, BleepingComputer, 2024년
[2]
• Newly Identified DroidLock Ransomware Can Execute Total Takeover of Compromised Devices, CyberNews, 2024년
[3]
• 'DroidLock' Android Malware Locks Users Out and Spies on Them via Camera, HackRead, 2024년
[4]

삼성, 안드로이드 장비 내 제로데이 취약점 패치

💡Editor’s Pick - 삼성 안드로이드 장비 내 이미지 라이브러리의 취약점 - 제로데이 공격 통해 임의 코드 실행 가능 - 스테이지프라이트 생각나게 하나, 그 정도 규모는 아냐 삼성이 자사 안드로이드 기반 제품에서 발견된 제로데이 취약점을 패치했다. 이는 CVE-2025-21043으로, CVSS 기준 8.8점짜리 고위험군 취약점이다. 임의 코드 실행 공격으로 이어질 수 있는

The Tech Edge문가용 기자

랜섬웨어 공격자들, 비즈니스 파트너 아니다

💡Editor Pick - 랜섬웨어 피해자 절반 가까이 몸값 지불 - 공격자 협상 방식 변화, 신뢰도 일시적 상승 - 예방과 백업이 유일한 대책, 기업 실무자 스트레스 증가 예스24(Yes24)가 랜섬웨어 공격자와 협의했던 것으로 보이는 가운데, 랜섬웨어 피해자들 중 절반 가까이가 공격자들이 요구한 돈을 지불한 것으로 조사됐다. 데이터를 보호하기 위한 사용자들의

The Tech EdgeDonghwi Shin