[이미지 = iclickart]

스파이랩스는 로키봇에 대해 “트로이목마”라고 분명히 못을 박는다. “다른 트로이목마들과 비슷해요. 인기가 많거나 유명한 앱 화면 위로 가짜 로그인 팝업을 띄워서 크리덴셜을 훔쳐가죠. 물론 모바일 뱅킹 앱에다가 이런 조작을 할 때도 있지만, 사용자들이 보통 같은 ID와 비밀번호를 모든 서비스에 사용한다는 점에 착안, 스카이프, 아웃룩, 왓츠앱 등의 앱에도 이런 식의 공격을 감행합니다.”

물론 로키봇에는 로키봇만의 독특한 기능이 존재한다. “모바일 브라우저를 열고 URL을 로딩할 수 있으며, SOCKS5 프록시를 설치해 바깥으로 나가는 트래픽을 우회시킬 수 있습니다. 또한 기기로 들어온 문자 메시지에 자동으로 답장할 수 있으며, 감염시킨 기기에 저장된 지인들 연락처로 문자 메시지를 전송할 수도 있습니다. 심지어 다른 정상 앱 들로부터 온 것처럼 보이는 ‘가짜 통보’를 내보내기도 합니다.”

로키봇은 이 모든 기능들을 활용하여 사용자들의 계좌에 돈이 입금됐다고 믿게끔 만든다. 그래서 거래 은행의 모바일 앱에 접속하여 확인하도록 유도하는 게 목적이다. 그 과정에서 가짜 로그인 화면을 띄워 로그인 정보를 수집하는 것이다. ‘트로이목마’ 기능에 먼저 충실한 것이다. “로키봇은 이러한 특징을 바탕으로 온라인 암시장에서 약 2천 달러에 거래되고 있습니다. 안드로이드 멀웨어 중 현재 거래되고 있는 건 Svpeng, 크라이아이(CryEye), 더블락커(DoubleLocker), 엑소봇(ExoBot) 등이 있습니다.”

로키봇은 안드로이드 4.0 버전 및 그 상위 버전에서 작동한다. 그리고 설치될 때 관리자 권한을 요구한다. 로키봇이 재미있는 건 사용자가 뭔가 수상하다는 걸 눈치 채고 멀웨어를 없애려고 하거나 관리자 권한을 취소하려고 할 때, 랜섬웨어로 변한다는 것이다.

그러나 스파이랩스는 “다행히도 랜섬웨어 기능이 제대로 구현되지 않아 사용자 파일을 암호화시키지 못한다”고 말한다. “로키봇의 Go_Crypt 랜섬웨어 함수는 화면을 잠그고 파일을 AES128 알고리즘으로 암호화하도록 되어 있습니다. 하지만 함수가 제대로 작동하지 않아요. 그래서 파일의 이름만 바꾸는 데 그치죠. 사실 피해자가 잃는 건 아무 것도 없습니다.”

하지만 돈을 요구하는 협박 메시지는 여전히 화면에 나타난 상태로 잠겨버린다. 파일은 암호화로부터 무사하나 사용자가 다른 화면으로 넘어갈 수 없어 곤란하긴 마찬가지다. 로키봇이 요구하는 금액은 70~100 달러인 것으로 알려졌다. “일반 사용자의 경우 안전 모드로 기기를 재부팅해야 합니다. 그리고 로키봇의 관리자 계정과 로키봇 감염 앱을 삭제해야 합니다.”

여기서 반전이 있는데, 파일 암호화 기능이 제대로 구현되든 안 되든 일반 사용자에게는 지갑을 열 정도의 효과가 있는 건 확실해 보인다는 것이다. “협박 편지에 나타난 비트코인 지갑 주소를 추적한 결과 이미 1천 5백만 달러라는 큰 금액이 입금되어 있는 걸 알 수 있었습니다. 랜섬웨어가 잘 작동하든 안 하든, 대부분의 일반인들은 이를 알아낼 방법이 없으니까요.”

로키봇에 대한 스카이랩스의 블로그 포스팅은 여기서 확인이 가능하다.

http://www.boannews.com/media/view.asp?idx=57672&kind=14