| 중국 안드로이드 모바일 공격, 국내 이용자 노린다! | 2013.02.27 |
악성 문자메시지 무차별 공격...사용자 주의·대비 필요 [보안뉴스 김태형] 최근 금융사기를 목적으로 제작된 안드로이드용 악성앱이 다양한 문자 메시지 내용으로 위장해서 유포되고 있다. 하지만 이러한 악성앱들을 유포했던 사이트의 도메인이 중국에 등록된 도메인으로 밝혀져 중국의 안드로이드 모바일 공격이 국내에도 위협을 가하고 있어 주목된다.
잉카인터넷 측에 따르면 “공격자는 매우 다양한 내용으로 문자메시지를 발송했는데 △보안서비스 휴대폰 안전을 위해 안전설치 바로가기 △이벤트☆야동 7일무료 △고객님 계좌번호비밀번호 변경완료되었습니다. △고객님![**카드]자동이체일은 25일입니다 통장잔액 확인 △[**은행] 자동이체통장 확인해주세요 잔액이부족합니다(-480,000) 등의 내용을 사칭했다”고 설명했다. 이러한 악성앱을 유포했던 사이트는 중국에서 도메인이 등록되었으며 현재는 국내에서 접속이 차단된 상태이다. 해당 중국 도메인에서는 이미 스파이앱 관련 악성 안드로이드 앱을 유포했던 이력을 가지고 있으며 국내 스마트폰 이용자들의 안드로이드 스마트폰을 감염시켜 문자메시지를 무단 탈취해 불법적인 소액결제사기에 악용하거나 개인정보 유출 시도를 위한 목적으로 공격을 수행한 것으로 추정된다. 이러한 정황으로 봤을 때 우리나라도 중국산 안드로이드 악성앱의 안전지대는 아니다. 2월 중순부터 중국의 특정 도메인으로 부터 ‘hgz.apk’라는 이름의 악성파일이 국내에 다수 전파된 것이 확인되었고 변종도 존재하는 것으로 파악되었다. 잉카인터넷 대응팀이 파악한 바에 의하면 다양한 형태로 조작되어 국내 이용자들에게 유포되었고 보통 25일이 기업의 급여일이라는 점 등을 교묘히 악용해 자동이체나 통장잔액 부족이라는 문구를 사용해 수신자들을 현혹시켰다. 실제 유포에 사용된 문자메시 내용은 아래와 같다.
해당 악성앱은 2개의 리시버와 1개의 서비스로 등록하여 작동하는데‘MyStartupReceiver’는 재부팅시 ‘SmsService’를 실행하는 역할을 수행한다. ‘MySmsReceiver’ 리시버는 사용자 스마트폰에 수신되는 문자메시지(SMS) 내용을 감시하며 문자메시지 발신번호가 +86(중국), +82(한국) 여부를 체크하여 국가번호를 제외한 번호를 저장한 후 발신번호의 시작이 ‘01’이 아닐 경우 ‘01333662220’ 번호로 발신번호와 문자메시지의 본문 내용을 담아 유출을 시도한다. 더불어 ‘sendTextMessage()’ API 함수를 통해서 감염된 스마트폰 이용자의 전호번호가 함께 유출될 수 있다. 또한, 메인 액티비티가 실행되면 ‘安?是否成功’라는 한자 내용을 ‘18889918537’ 전화번호로 문자메시지를 무단 발송한다. 해당 한자인 ‘안장시부성공’ 이라는 내용은 [설치에 성공했습니까?] 라는 의미를 가지고 있고 공격자로 하여금 감염현황을 확인하기 위한 용도로 사용된다. 잉카인터넷 대응팀은 “해당 악성앱을 추적해 본 결과 이미 2012년부터 중국내에서 마치 스마트폰 보안프로그램처럼 위장한 변종이 다수 전파된 이력을 확인한 상태이고, 중국의 모바일 보안위협이 한국으로 점차 번져가고 있다는 것을 예상해 볼 수 있다”면서 “이번 악성앱은 소액결제 승인용 문자내역을 훔쳐가거나 사용자에게 수신되는 각종 문자메시지 내역을 편취하여 악용할 소지가 있다”고 설명했다. 소액결제 사기 형태와 모바일 디도스 형태에서 이제는 문자메시지 등 개인정보 탈취기능으로 모바일 보안위협이 확대되고 있다. 이용자들은 모바일 보안에 각별히 신경을 쓰고 의심스러운 문자메시지에 포함된 단축URL 주소는 클릭을 하지 않는 보안습관이 필요하다. [김태형 기자(boan@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|
 |
