밀수상, 단말기에 ROM 바이러스 미리 내장

스마트폰 구매자의 단말기 개조도 ROM 바이러스 감염 원인

[보안뉴스 온기홍= 중국 베이징] 중국 대륙에서 밀수 스마트폰 유통이 지속적으로 늘면서 ROM 바이러스(시스템 내장 바이러스)가 급증하고 있다.

중국 유명 메신저·보안·게임 회사인 텅쉰(qq.com)은 “외국에서 들여오는 밀수 이동전화기 범람으로 ROM 바이러스 급증한 것은 올해 매우 두드러진 현상”이라며, “지난 2월 많은 밀수 이동전화기에 악성 소프트웨어가 들어 있어서 이동전화기 이용자들은 모르는 사이 요금 차감과 사용량 소모와 같은 손실을 입었다”고 밝혔다.

텅쉰은 또 “많은 사람들이 밀수 스마트폰을 구입하기 전 이미 밀수상이 스마트폰을 개조하고 악성 소프트웨어를 넣었을 가능성이 있다”고 덧붙였다.

텅쉰내 모바일 보안랩(QQSecurityLab)의 모니터링에 따르면, 지난 2월 중 ROM 내 바이러스는 전체 바이러스 탐지 횟수 가운데 11.26% 비중을 차지했다. 지난 2월 중국 최대 명절인 ‘춘절’을 맞아 이동전화기 구매 수요가 급증하면서 밀수 스마트폰의 출하량도 증가했고 밀수 단말기 시장도 활황을 누렸다. 이는 ROM 바이러스에 감염된 이동전화기 이용자 수의 대폭 증가로 이어졌다.

中 10대 ROM 바이러스

텅쉰이 자사 이동전화 보안솔루션 ‘셔우지 관쟈’(qq secure, qq manager)를 통해 2월 중 조사한 감염 피해자 기준 10대 ROM 바이러스를 보면, △a.expense.dpn △a.expense.jxkj △a.expense.cc △a.privacy.counterclank △a.privacy.fakePowerAlarm △a.payment.fakegooglemap. △a.payment.MMarketPay.b. △a.payment.kituri.a △a.payment.kituri.a △a.expense.lunar 등의 순으로 파악됐다.

이들 상위 10위내 ROM 바이러스에 감염된 전체 이동전화기 이용자 수는 연 92만6,628명에 달했다. 감염 피해자가 가장 많은 ROM 바이러스는 a.expense.dpn였다. 텅쉰 쪽이 이 바이러스를 퇴치한 횟수는 연 8만 7,000회에 달했다. 이들 10대 ROM 바이러스들은 이동전화기 이용자 몰래 사용량을 빼가고 (선불) 요금을 차감하며 프라이버시를 절취했다.

바이러스별 특징을 보면, 먼저 감염자가 압도적으로 많은 ‘a.expense.dpn.’ 바이러스는 단말기 작동 후 몰래 네트워크에 연결해 특정 소프트웨어를 내려 받아 설치하고 확산시키며, 이동전화 사용량 소모 등의 피해를 끼친다. 이 바이러스는 지난해 중국내 감염자 기준 10대 모바일 바이러스 가운데 6위(연 77만3,986명)에 오른 바 있다.

감염자 기존 2위를 차지한 ‘a.expense.jxkj.’ 바이러스의 경우 단말기에 설치된 후 아이콘 없이 작동하며 자동으로 특정 프로그램을 내려 받아 설치해 보안 위협을 가한다. 지난해 10대 모바일 바이러스 가운데 9위(연 61만4,694명)를 기록했다.

이어 ‘a.expense.cc.’는 이동전화기를 켠 뒤 몰래 특정 소프트웨어를 내려 받아 설치하며, 이동전화 사용량 소모를 야기할 수 있다. 지난해 10대 모바일 바이러스 중 4위(연인원 85만1,346명)에 올랐었다.

4위에 오른 ‘a.privacy.counterclank’ 바이러스는 작동 후 이용자가 모르는 상황에서 바탕화면에 바로 가기 방식을 만들고 이용자 브라우저 서명을 업로드한다. 이동전화기 하드웨어 정보도 수집한다.

바이러스 ‘a.privacy.fakePowerAlarm’는 설치 후 이용자의 단문 메시지 정보를 차단하며 몰래 단문 메시지를 발송한다. 감염자는 7만6,980명으로 5위를 기록했다. 또 ‘a.payment.fakegooglemap.’는 구글 맵(Google Map)으로 위장해 이용자를 속여 설치하도록 하며, 설치 이후 아이콘 없이 몰래 단문 메시지를 발송하고 차단하며 연락처를 빼낸다. 감염자는 7만5,514명으로 6위에 올랐다.

2월 중 7만5,384명이 감염된 바이러스 ‘a.payment.MMarketPay.b.’는 몰래 ‘APN’을 ‘CMWAP’로 전환한 뒤 이동통신서비스업체인 중국이동통신의 모바일 마켓에 있는 요금 차감 인터페이스와 검증을 모방해 클릭하게 하고 요금 차감 확인 메시지 수신을 차단한다. 이 때문에 이용자는 요금 차감 피해를 입게 한다.

바이러스 ‘a.payment.kituri.a’는 설치 후 몰래 단문메시지를 발송하며, 정해진 시간에 임무를 개시한다. 이용자 프라이버시 정보를 사전에 지정된 서버에 업로드하며, 악의적으로 확인 메시지 수신을 차단한다. 감염 피해자는 7만1,230명으로 8위를 기록했다.

또한 ‘a.expense.lunar’는 설치 후 루트(ROOT) 권한을 신청하며, 이용자 허락 없이 몰래 특정 소프트웨어를 다운로드해 설치함으로써, 이용자에게 요금 소모 피해를 입힌다.

감염자 규모 10위에 오른 ‘a.remote.i22hk’ 바이러스는 단말기에서 활성화한 다음 자동으로 IMEI, IMSI 같은 정보를 http://www.***.hk에 올린다.

이어 클라우드 단의 명령을 획득해 이동전화기를 제어하며, 지정된 번호에서 발송되는 메시지를 차단한다. 동시에 브라우저 서명을 수정할 수 있고, 네트워크에 연결해 출처불명의 프로그램을 내려 받는다. 이 바이러스는 지난해 중국내 감염자 기준 10대 모바일 바이러스 가운데 2위(연 94만9,118명)에 올랐었다.

이들 상위 10대 ROM 바이러스가 감염시킨 인기 소프트웨어(S/W) 패키지는 크게 두 종류다. 첫째, 2차 패키징 또는 위장된 시스템 애플리케이션(앱)이다. 대표적으로는 ‘Adobe Flash Player’, ‘Google Maps’, ‘SystemService’ 등이다.

두 번째는 2차 패키징된 유명 애플리케이션이다. 중국내 모바일 음악 종합 플레이어인 ‘쿠워음악’, ‘시나 게임센터’, 스마트폰 브라우저인 ‘dolphin-browser’, 스마트폰용 날씨 소프트웨어인 ‘톈치통’, 가격 비교 사이트인 ‘이거우’, 제3차 온라인 결제 플랫폼인 ‘청푸통’, 여성 온라인쇼핑 사이트인 ‘보허스샹’, 소유주식 추적 소프트웨어인 ‘차오판셔우 주리반’, 중국 최대 온라인 쇼핑몰인 ‘징동상청’, 온라인 쇼핑몰 ‘1호점’의 스마트폰 버전인 ‘쟝샹1호점’, ‘안드로이드 소프트웨어 (판매)대 등이 대표적이다.

지난 2월 중 전국의 ROM 바이러스 감염 상황을 보면, 광동성(21.05%), 장쑤성(6.70%), 허난성(6.57%), 베이징(5.50%), 저쟝성(5.08%), 허베이성(4.57%), 쓰촨성(4.23%), 산동성(4.10%), 푸젠성(4.07%), 광시자치구(3.57%) 순으로 감염률이 높게 나타났다. 이들 10개 지역은 전국 감염률의 65.4%를 차지했다.

中 ROM 바이러스 감염 주요 경로

ROM 바이러스 감염 경로를 보면, 불법 스마트폰 밀수상의 사전 바이러스 내장, 이용자 본인의 단말기 개조 등이 주요 경로로 밝혀졌다. 이 중 불법 스마트폰 밀수상이 ROM 바이러스를 미리 심어 놓는 비율은 전체의 91.7%를 차지했다.

텅쉰은 “중국내 일부 불법 스마트폰 밀수상들은 이용자 프라이버시를 수집하거나 몰래 요금을 차감하고 특정 소프트웨어를 퍼뜨리기 위해 밀수 단말기에 악성 S/W나 바이러스를 넣고 있다”고 설명했다. 밀수상들은 ROM 제작업체, 악성 S/W 개발자 등과 손잡고 악성 ROM 패키지나 악성 S/W를 넣고 있다.

이와 관련, 불법 스마트폰 밀수상들은 1단계로 일반 시스템(ROM)에 바이러스 프로그램을 넣는다. 이어 2단계로 바이러스가 내장된 시스템(ROM)을 밀수 스마트폰에 삽입한다. 이렇게 바이러스가 내장된 밀수 스마트폰은 소비자의 손에 들어가고 있다.

텅쉰은 “밀수상과 불법 ROM 제작자는 악성 소프트웨어를 삽입하는 불법행위를 통해 폭리를 취하는 동시에 많은 악성 소프트웨어 개발자들이 참여하도록 끌어들이기도 한다”고 설명했다.

ROM 바이러스에 많이 걸린 이동전화기 이용자 거주지역은 기본적으로 중국 대륙에서 스마트폰 밀수와 개조가 활발한 지역들이다. 광동성 선전시와 광저우시는 중국에서 가장 규모가 큰 밀수 스마트폰 시장의 집산지이다. 광동성에서는 밀수 단말기 출하량이 정품 단말기보다 2~3배 많은 것으로 알려졌다. 이 같은 밀수 시장의 확대는 광동성에서 ROM 바이러스가 매우 빠르게 증가하는 결과를 낳았다.

한편, 텅쉰 산하 모바일 보안랩의 모니터링에 따르면, 지난 2월 ROM 바이러스에 많이 감염된 상위 10위의 밀수 이동전화기 기종은 GT-I5508, GT-I9100, GT-S5830i, GT-N7000, Incredible S, GT-I9300, Desire S, GT-S5830, Y210-2010, SAGA A720 순으로 밝혀졌다.

ROM 바이러스에 감염된 이들 10종의 밀수 이동전화기 이용자는 모두 연 19만6,000명에 달했다. 감염 이용자 수가 각각 2만 명을 넘은 밀수 폰 기종은 GT-I5508, GT-I9100, GT-S5830i, GT-N7000 등 4종이었다.

이 중 ‘GT-I5508’ 모델 단말기 이용자 중 감염자는 3만 명을 넘어 가장 많았다. 이 단말기 기종을 감염시킨 ROM 바이러스는 주로 a.payment.lemei.(차이신 메이잉)과 a.privacy.fakegooglemap.(위장 구글 맵)로 밝혀졌다.

바이러스 ‘a.privacy.fakegooglemap.’은 밀수 폰 기종에서 감염률이 가장 높은 바이러스가 됐다. 감염 단말기 상위 10위 모델 가운데 5종은 모두 이 바이러스를 갖고 있었다.

[중국 베이징 / 온기홍 특파원 onkihong@yahoo.co.kr]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>