이용자 몰래 요금차감...2월 중 32만여명 감염 피해 입어

[보안뉴스 온기홍=중국 베이징] 중국에서 스마트폰 요금을 빼가고 소모시키는 바이러스들이 빠르게 늘고 있다. 이런 종류의 바이러스는 스마트폰 이용자들이 감지는 물론 삭제하기도 어려워 경제적 손실을 낳고 있다.

중국의 메신저·보안·게임 회사인 텅쉰(qq.com)은 지난 2월 중 자사 이동전화 보안솔루션 ‘셔우지 관쟈’(qq secure, qq manager)를 통해 중국 대륙에서 탐지한 이동전화 요금차감 류 바이러스 패키지는 3만 1,938개로 집계 됐다고 최근 밝혔다.

지난 2월 중 상위 10위 안의 요금차감 류의 바이러스가 감염시킨 이동전화 이용자 수는 32만 4,000명을 넘었다. 이 중 1위에 오른 요금차감 류의 바이러스 ‘a.payment.fakegooglemap.’(가짜 구글 맵)가 감염시킨 이동전화 이용자 수는 약 7만 6,000명에 달했다.

텅쉰은 “정상적 소프트웨어(S/W)에 악성 요금차감 코드를 심는 2차 패키징을 통해 직접 이용자 이동전화기에서 요금을 빼가는 수법은 바이러스 제작자에게 있어 가장 재빠르고 유효한 불법 이윤 획득 방식이 됐다”고 지적했다.

中 2월 중 10대 스마트폰 요금차감류 바이러스

이동전화 이용자를 감염시킨 상위 10위 안의 바이러스 가운데 악성 요금차감 류 바이러스는 △a.payment.fakegooglemap. △a.payment.MMarketPay.b. △a.payment.lemei.(차이신 메이잉) △a.payment.kituri.(인쓰쥐펑, 프라이버시 허리케인) △a.payment.dg.a.(시스템 킬러) △a.payment.daemon △a.payment.deviceadmin △a.payment.bingo △a.payment.staservice △a.payment.fakekoogame.a 순으로 조사됐다.

감염자 기준 1위에 오른 ‘a.payment.fakegooglemap.’ 바이러스는 구글 맵(Google Map)으로 위장해 이용자가 설치하도록 이끈다. 단말기 내 설치 후에는 아이콘 없이 몰래 단문 메시지를 발송하고 차단하며 연락처를 훔친다.

감염자 수가 1위와 비슷한 ‘a.payment.MMarketPay.b.’ 바이러스는 몰래 ‘APN’을 ‘CMWAP’로 전환한 뒤 이동통신서비스업체인 중국이동통신의 모바일 마켓에 있는 요금차감 인터페이스와 검증을 클릭하고, 요금차감 확인 메시지 수신을 차단한다. 이용자는 자기도 모르는 사이에 요금을 차감 당한다.

3위에 오른 ‘a.payment.lemei.’ 바이러스의 경우 작동 후 몰래 요금차감 단문메시지를 발송하며, 이동전화 부가 서비스를 주문함으로써 이동전화 보안을 위협할 수 있다.

바이러스 ‘a.payment.kituri.’는 게임 명의로 이용자를 현혹시켜 내려 받아 설치하게 한 후, 몰래 단문메시지를 발송한다. 이용자 개인정보를 지정된 서버에 업로드하고 확인 단문메시지 수신을 악의적으로 차단해 이용자 프라이버시를 유출시킨다. 이로써 이용자에게 경제적 손실 피해를 끼칠 수 있다.

이른바 ‘시스템 킬러’로 불리는 ‘a.payment.dg.a.’ 바이러스는 ROM 안에 내장되고 시스템 최고 권한을 갖고 있다. 이 바이러스는 정상적 경로로 삭제할 수 없을 뿐 아니라, 지정된 보안 S/W의 설치를 막을 수도 있다. 동시에 대량의 요금차감 메시지를 발송하고 지정된 번호가 발신하는 단문메시지를 삭제함으로써, 이용자에게 경제적 손실을 안긴다.

또한 ‘a.payment.daemon’ 바이러스는 온라인게임 명의로 이용자를 꾀어 다운로드 해 설치하게 한다. 활성화한 다음, 몰래 특정 이동전화 부가서비스 번호로 구매 메시지를 발송하고 피드백 돼 온 확인 메시지를 삭제한다. 동시에 네트워크에 연결해 최신 요금차감 명령을 받는다.

바이러스 ‘a.payment.deviceadmin’의 경우 시스템 핵심 프로그램으로 위장하며, 단말기 내 설치 후 이용자를 속여 시스템 고급 권한을 부여하게 한다. 몰래 정기적으로 요금차감 메시지를 발송할 뿐 아니라, 정상적 과정으로 삭제할 수 없게 함으로써 시스템의 정상적 운영에 영향을 끼친다.

감염자 규모 8위에 오른 바이러스 ‘a.payment.bingo’는 설치 후 단말기를 켜서 강제로 작동시킨다. 몰래 지정 시간에 악성 요금차감 메시지를 발송하고 지정된 내용의 단문메시지 수신을 차단한다.

바이러스 ‘a.payment.staservice’는 설치 후 단말기를 켜서 강제로 작동시키며 단말기 하드웨어 정보를 업로드 한다. 또 지정된 웹사이트 주소를 방문해 클라우드 단에서 악성 단문메시지 내용과 전화번호를 얻는다.

이어 몰래 단말기에 정시 서비스 설치를 통해 출처불명의 단문메시지를 발송하고 불명의 애플리케이션을 내려 받는다. 동시에 지정된 내용의 단문메시지 수신을 차단하고 지정된 통화기록을 삭제하는 등 악의적 요금차감 위험을 야기한다.

이 밖에 ‘a.payment.fakekoogame.a’ 바이러스는 단말기 내 설치 후 악의적으로 이동전화 부가서비스 구매 단문메시지의 수신을 차단한다. 동시에 이용자 허락 없이 몰래 단문메시지를 발송해 부가서비스 구매를 확인하는 등 악의적 요금차감과 맬웨어 행위를 한다.

中 스마트폰 요금차감류 바이러스 특징

최근 이들 이동전화 요금 차감류 바이러스들은 인기 S/W나 시스템 S/W와 묶여 2차 패키징을 통해 대량 복제되기 때문에 많은 인기 S/W들이 잇달아 감염되고 있다. 이 중 가짜 구글 맵 ‘a.payment.fakegooglemap.’은 Google Maps, SystemService 등 시스템 S/W를 감염시켰다. ‘a.payment.MMarketPay.b.’은 안드로이드(Android) 앱 마켓, ‘중화 만녠리’(달력 앱) 등 유명 S/W를 감염시킨 것으로 밝혀졌다.

텅쉰은 “바이러스 제작자들이 대량 복제를 통해 빠르게 패키징 하고 여러 경로를 통해 투입하고 있다”며 “이 때문에 많은 악성 요금 차감류 바이러스 ‘잔여 세력’이 단번에 뿌리 뽑히지 않고 있고 악명 높은 많은 악성 요금 차감류 바이러스들이 되살아나 올해 들어서도 널리 퍼지고 있다”고 설명했다.

실제 지난 2월 감염자 규모 상위 2~4위에 오른 ‘a.payment.MMarketPay.b.’, ‘a.payment.lemei.’, ‘a.payment.kituri.’ 등 3대 요금 차감류 바이러스는 지난해 감염 피해자 수가 가장 많은 10대 요금 차감류 바이러스에도 뽑힌 바 있다.

텅쉰이 탐지한 결과에 따르면, 지난해 감염 피해자 수에서 ‘a.payment.lemei.’가 연 78만3,000명, ‘a.payment.kituri.’는 연 44만6,000명, ‘a.payment.MMarketPay.b.’가 23만2,000명에 달해 각각 1위, 2위, 4위에 올랐었다.

텅쉰내 모바일 보안랩(QQ SecurityLab)의 통계에 따르면, 요금차감 류 바이러스는 △단문·멀티메시지 요금차감 △IVR 요금차감 △URL 요금차감 등 3종의 요금차감 방식을 갖고 있다. 이 중 ‘단문·멀티메시지 요금차감’은 96.6%의 점유율을 기록해 압도적으로 많다. 이어 ‘IVR 요금차감’은 2%, ‘URL 요금차감’은 1.4%의 비율을 보였다.

최근 이동전화 요금차감류 바이러스의 특징과 관련, 텅쉰은 “부가서비스 제공업체에 단문메시지를 발송하거나 지정된 악성 요금차감 링크에 연결하는 방식을 통해 몰래 이용자의 이동전화 요금을 빼간다”며 “이용자를 속여 최고 권한을 주도록 하고, 몰래 요금차감 메시지를 발송한다”고 설명했다.

이어 이동전화 부가서비스를 주문하는 동시에 서비스업체가 보내는 확인 메시지를 자동으로 막음으로써 이용자가 본인도 모르는 사이에 요금차감 피해를 입게 한다는 설명이다.

이 회사는 이어 “이용자 허락 없이 몰래 메시지를 발송해 특정 이동전화 부가서비스 주문 구매를 확인하는 동시에 서비스업체가 발송한 확인 메시지를 차단하는 방식은 악성 요금 차감류 바이러스의 공동 특징이 됐다”고 밝혔다.

[중국 베이징 / 온기홍 특파원 onkihong@yahoo.co.kr]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>