이셋(ESET) 제품에 의해 ‘Android/DoubleLocker.A’로 진단되는 ‘더블라커(DoubleLocker)’는 장치의 PIN번호를 변경해 피해자가 기기를 사용할 수 없도록 할 뿐만 아니라, 기존과 달리 장치에 저장된 데이터를 암호화하는 최초의 안드로이드용 랜섬웨어다.

더블라커는 주로 감염된 웹사이트를 통해 가짜 어도비 플래시 플레이어(Adobe Flash Player)로 배포되며, 앱이 실행되면 접근성 서비스인 구글 플레이 서비스가 활성화되도록 요청한다.

접근성 권한을 얻은 후 장치의 관리자 권한을 활성화하고 사용자 동의 없이 기본 홈 애플리케이션인 런처로 설정돼 사용자가 홈 버튼을 클릭할 때마다 랜섬웨어가 활성화돼 장치가 잠긴다.

생성된 PIN 번호는 저장하거나 공격자에게 전송되지 않아 복구가 불가능하다. 몸값 지불 후 공격자는 PIN 번호를 원격으로 재설정하고 잠금을 해제할 수 있다. 또한, 암호화된 파일은 공격자로부터 암호화키를 받지 않고는 복호화할 수 있다.

몸값은 0.0130비트코인(약 54달러)으로 설정됐으며 24시간 내 지불할 것으로 요구한다. 몸값이 지불되지 않으면 데이터는 암호화된 상태로 유지되며 삭제되지 않는다.

이 랜섬웨어를 제거할 수 있는 유일한 방법은 공장 초기화다. 루팅된 장치의 경우 PIN번호 잠금을 우회할 수 있는 방법이 있지만, 이 방법을 사용하려면 장치가 잠기기 전에 디버깅 모드가 활성화돼 있어야 한다.

김남욱 이셋코리아 대표는 “이제 랜섬웨어는 장치의 종류를 가리지 않고 감염되고 있으며 몸값을 요구하는 인질의 종류도 데이터의 암호화나 장치 잠금, 민감한 정보를 폭로하겠다는 협박 등 더욱 다양해지고 있다”며 “검증되지 않은 사이트 방문이나 앱 설치를 자제하고, 성능이 확인된 보안 솔루션을 적절히 사용하는 것이 매우 중요하다”고 말했다.

<최민지 기자>cmj@ddaily.co.kr