[보안뉴스 온기홍=중국 베이징] 중국내 안드로이드 OS 기반 스마트폰을 겨냥한 바이러스에서 지난 8월 나타난 특징은 이동전화 요금소모와 개인비밀 정보 획득류 위주였다는 점이다.

텅쉰의 모바일 보안랩이 조사해 발표한 8월 중 안드로이드 바이러스 유형 분포를 보면, 요금 소모류 바이러스의 점유율(38%)은 전월에 비해 소폭 내렸지만 여전히 높은 비중으로 전체 1위를 유지했다.

이어 개인비밀 정보 절취류 바이러스의 점유율은 26%에 달했다. 악의적 요금 빼가기는 15%를 차지했다. 원격 감시·제어와 시스템 파괴류 바이러스는 각각 9%, 4%를 비중을 보였다. 기만·사기류는 8%를 기록했다.

텅쉰의 모바일 보안랩은 ‘8월 이동전화 안전 보고’에서 “8월 이래 짧은 기간에 빠르게 금전적 이득을 챙기려는 것은 안드로이드 바이러스 제작자와 단체의 뚜렷한 목표가 됐다”고 설명했다.

지난 8월 중 이동전화 바이러스의 공격 행위는 ‘사용량과 요금 소모’에서 온라인 뱅킹 계좌번호 절취를 통한 사용자 자금 절도로 방향을 돌렸다. 동시에 개인비밀 정보 절취와 기만·사기의 특징을 보였다. 또 이동전화 사용자를 속여 악성코드 패키지를 설치할 뿐 아니라 메시지 수신함을 감시·제어하는 한편, 악성 문자메시지를 끼워 넣거나 메시지를 몰래 발송하고 차단하는 행위를 했다.

이 같은 이동전화 수신 문자메시지와 통화의 도청·감청은 안드로이폰을 겨냥한 개인 비밀정보 획득류 바이러스의 새로운 특징이 됐다. 8월 중 개인비밀 정보류 바이러스는 주로 네트워크에 접속해 업로드하는 방식을 통해 사용자 개인정보를 유출하거나 단문메시지 발송 방식, 원격의 메시지 모니터링과 통화 감청 등 방식을 통해 사용자 개인정보를 빼냈다.

지난 8월 중 기만·사기류 바이러스는 사기 방식을 통해 사용자가 악성코드를 설치하게 하거나 이동전화기 취약점을 이용해 원격으로 악성코드를 내려 받아 설치했다.

지난 달에는 이동전화 운영업체의 서비스를 몰래 주문·구매하는 동시에 이동전화 운영업체의 확인 메시지를 막는 악의적 요금 빼가기류 바이러스 역시 범람하기 시작했다.

8월 중 가장 전형적인 바이러스인 요금 소모와 개인 비밀정보 획득류의 ‘문자메시지 좀비’의 ‘폭발’은 안드로이드 OS 기반 스마트폰 바이러스가 고리처럼 이어지고 삭제가 어려운 새로운 특징 등을 띠기 시작했다는 것을 의미한다고 텅쉰 쪽은 설명했다.

텅쉰은 “광고 판촉류 바이러스도 더욱 범람했다”며 “이 바이러스는 일단 사용자 쪽에 설치된 후 몰래 판촉 S/W를 내려 받고 이동전화 사용량을 소모하는데, 삭제도 어렵다”고 분석했다. 이 바이러스의 확산은 요금 소모류 바이러스의 빠른 번식을 간접적으로 부추겼다고 텅쉰은 덧붙였다.

中 8월 주요 안드로이드 스마트폰 겨냥 바이러스

먼저 ‘문자메시지 좀비’로 불리는 ‘a.rogue.smszombie’가 대표적이다. 이 바이러스는 사용자를 속여 악성 S/W 패키지를 설치하게 한다. 설치 요구 페이지 화면이 끊임 없이 튀어 나오며, 메시지 수신함 감시·제어, 악의적 문자메시지 삽입, 문자메시지 몰래 발송·차단 등의 행위를 한다. 동시에 사용자를 속여 ‘설비 관리기’를 활성화시키고, 정상적으로 삭제할 수 없게 한다.

‘a.expense.megall’ 바이러스는 설치 후 알림 표시 없이 광고 판촉류 S/W를 몰래 내려 받으며, 이동전화 사용량을 소모하고 요금 소모를 야기한다.

‘a.payment.fakesystemapp’의 경우 시스템 S/W로 위장해 사용자가 설치하게 하며, 스마트폰의 보안 S/W 설치 여부 등 비밀정보를 지정된 서버로 발송한다. 단말기 화면이 잠겨 있을 때 이동전화 운영업체의 서비스를 주문·구매하며, 운영업체가 발송한 확인 문자메시지를 막는다.

바이러스 ‘a.expense.lemon’는 스마트폰의 수신 문자메시지를 모니터링한다. 문자메시지가 발송될 때 메시지 정보를 가로막을 수 있으며, 지정된 다른 이동전화기 번호에 전송한다. 이를 통해 사용자의 개인정보 안전을 위협한다.

‘a.payment.ms.a’ 바이러스는 자동으로 활성화하면서, 임의 지정된 이동전화 운영업체 포트 번호로 요금 공제 메시지를 발송하는 동시에 운영업체의 확인 메시지를 차단한다. 또 클라우드 단에서 명령한 운영 기록을 지정된 이동전화 번호로 발송하고 사용자 정보를 빼낸다.

또한 ‘a.payment.fakekoogame.a’는 설치 후 이동전화 운영업체의 서비스 주문·구매 메시지를 악의적으로 차단한다. 동시에 사용자 몰래 메시지를 발송해 운영업체의 주문·구매 서비스를 확인하며, 요금 빼가기 행위를 한다.

‘a.system.hider’ 바이러스의 경우, 설치 후 이용자를 속여 루트(root) 권한을 신청한다. 루트 권한을 획득하면, 다른 의심스러운 S/W를 몰래 설치해 스마트폰 보안을 위협한다.

바이러스 ‘a.expense.mxmobile’는 사용자 허가 없이 문자메시지를 몰래 발송하는 동시에 지정된 내용의 메시지를 차단한다. 이동전화기 정보를 업로드하여 요금 소모와 정보 유출을 야기한다.

‘a.privacy.tinyurl.a’ 바이러스의 경우 설치 후 아이콘 없이 단말기를 켜서 강제로 작동시키며, 사용자 몰래 송수신 메시지와 통화 기록을 모니터링한다. 또 실시간으로 사용자 GPS 위치를 추적하며 감시·제어 정보를 지정된 사이트로 보내게 하여 사용자 개인정보를 빼내간다.

이밖에 ‘a.expense.mdk.a’ 바이러스는 설치 후 단말기를 켜서 강제로 작동시키며, 원거리 서버에서 악성 코드를 내려 받는다. 앱 프로그램 패키지도 몰래 내려 받아 이동전화 사용량과 함께 요금 소모를 야기한다.

[중국 베이징 / 온기홍 특파원 onkihong@yahoo.co.kr]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>