프리미엄 요금제 SMS와 전화 사기로 수익 얻어

[보안뉴스 호애진] 중국의 서드파티 안드로이드 마켓에서 새로운 악성코드가 유포됐고, 이로 인해 10만대의 모바일 디바이스가 감염돼 봇넷을 형성하고 있는 것이 발견됐다.

노스 캐롤라이나 주립대학과 시만텍의 전문가들에 따르면 이 악성코드, 루트스마트(RootSmart)는 B매스터(BMaster)라고 불리는 원격 액세스 트로이목마(remote access trojan)를 설치한다. 그리고 이를 통해 안드로이드 2.3.3과 3.0 이전 버전의 디바이스로부터 각종 정보를 훔쳐내고, 프리미엄 요금제 SMS와 전화 사기로 수익을 얻는다.

지난해 안드로이드 디바이스의 수가 크게 늘면서 안드로이드 플랫폼을 표적으로 하는 악성코드 수 역시 급격히 증가했다. 그러나 아직까지 모바일 세계에서의 봇넷은 생소한 개념이다.

중국으로 제한된 이 안드로이드 봇넷은 지금까지 알려진 모바일 봇넷 중 최대 규모다. 해당 악성코드는 2011년 9월부터 디바이스를 감염시키기 시작했고, 지난 주만 해도 이 안드로이드 봇넷에는 1만 1,000대의 디바이스가 활성화돼 있었다. 시만텍은 이 봇넷의 C&C 서버의 데이터를 분석한 결과 1월, 활성화된 디바이스의 수만 2만 9,000대였다고 밝혔다.

노스캐롤라 대학의 주지안 지앙(Xuxian Jiang)에 따르면 이는 진저매스터(Gingermaster)라는 이전의 안드로이드 악성코드와 유사하다. 진저매스터와 마찬가지로 진저브레이크 루팅을 이용한다.

합법적인 애플리케이션에 숨겨져 있다가 일단 설치되면 루트 권한을 얻은 후 C&C 서버로부터 드로이드라이브(DroidLive) 등 B매스터 원격관리 툴과 악성코드를 설치한다.

시만텍은 이 봇넷이 하루에 1,600~9,000 달러, 1년엔 54만 7,500달러~328만 5,000달러의 수익을 창출하고 있는 것으로 추정하고 있으며, 향후 이러한 봇넷이 계속 출현할 것으로 보고 있다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>