중국에서 가장 많이 발견된 요금차감 및 개인정보 절취 바이러스는? 

바이러스 ‘위장성’ 강해져...통화기록·메시지 주요 절취 대상

[보안뉴스 온기홍=중국 베이징] 중국에서 지난 1분기 동안 감염자수 기준 상위 10위 안에 든 ‘요금차감’류 바이러스와 ‘개인정보 절취’류 바이러스에 감염된 이동전화기 사용자는 각각 115만 명과 135만 명에 달한 것으로 나타났다.

또한 최근 들어 이동전화 바이러스의 ‘위장성’이 강해지고 있으며, 통화기록·메시지와 같은 사적 비밀은 불법세력의 핵심적인 절취 목표물로 떠올랐다.

◆ 악의적 요금 차감류 바이러스, 사용자에 금전 손실 끼쳐

중국 보안·포털·메신저·게임 서비스회사인 텅쉰 산하 ‘모바일 보안랩’의 모니터링에 따르면, 지난 1분기 상위 10위 안의 악성 요금 차감류 바이러스에 감염된 이동전화기 사용자는 115만 9,000명에 달했다. 상위 5위 이내 각 바이러스별 피해자는 10만 명을 넘었다.

상위 10위 이내 악성 요금 차감류 바이러스는 △a.payment.MMarketPay.b. △a.payment.lemei. △a.payment.fakegooglemap. △a.payment.kituri. △a.payment.dg.a. △a.payment.deviceadmin △a.payment.daemon △a.payment.fakekoogame.c △a.payment.bingo △a.payment.staservice 순으로 나타났다.

    

      ▲ 2013년 제1분기 중국내 요금 차감류 이동전화 바이러스 Top 10

이들 바이러스의 특징을 살펴 보면, 먼저 25만5,000명이 감염된 ‘a.payment.MMarketPay.b.’ 바이러스는 몰래 ‘APN’을 ‘CMWAP’로 전환한 뒤 중국이동통신의 모바일 마켓에 있는 요금 차감 인터페이스를 클릭한 뒤 요금 차감 확인 메시지 수신을 차단한다.

이어 ‘a.payment.lemei.’ 바이러스는 몰래 요금 차감 메시지를 발송하며 이동전화 부가 서비스를 신청함으로써 이동전화 안전을 위협할 수 있다. 가짜 구글 맵(Google Map)인 ‘a.payment.fakegooglemap.’ 바이러스는 구글 맵으로 위장해 이용자가 설치하게 하고 아이콘 없이 몰래 메시지를 발송하거나 차단하며 연락처를 훔친다.

또 ‘프라이버시 허리케인’으로 불리는 ‘a.payment.kituri.’는 모바일 게임 이름으로 이용자를 꾀어 내려 받아 설치하게 한 뒤 몰래 메시지를 발송한다. 개인정보를 지정된 서버에 올리고 확인 메시지 수신을 차단해 이용자의 사적 비밀을 유출시킨다.

이른바 ‘시스템 킬러’로 불리는 ‘a.payment.dg.a.’ 바이러스는 ROM 안에 내장되며 시스템 최고 권한을 갖고 있다. 이 바이러스는 정상적 경로로 삭제할 수 없는데, 보안 S/W의 설치를 막을 수도 있다. 또 대량의 요금 차감 메시지를 발송하며, 지정된 전화번호에서 발신하는 메시지를 삭제한다.

6위에 오른 ‘a.payment.deviceadmin’의 경우 시스템 핵심 프로그램으로 위장하며, 설치 뒤 이용자를 속여 시스템 고급 권한을 부여하게 한다. 정기적으로 몰래 요금 차감 메시지를 발송하며, 정상적인 과정으로 삭제할 수 없게 함으로써 시스템 운영에 영향을 끼친다.

7위를 차지한 ‘a.payment.daemon’ 바이러스는 온라인 게임 명의로 이용자를 꾀어 내려 받아 설치하게 한다. 몰래 특정 이동전화 부가서비스 구매 메시지를 발송하고, 확인 메시지를 삭제한다. 동시에 네트워크에 연결해 요금 차감 명령을 받는다.

이어 a.payment.fakekoogame.c는 이용자 동의 없이 몰래 메시지를 보내 이동전화 부가 서비스 구매를 확인하는 등 악의적인 요금 차감과 맬웨어 행위를 한다. 9위를 차지한 ‘a.payment.bingo’의 경우 설치 뒤 단말기를 켜서 강제로 작동시키고 몰래 지정 시간에 요금 차감 메시지를 발송하며, 지정된 내용의 메시지 수신을 차단한다.

바이러스 ‘a.payment.staservice’는 단말기 하드웨어 정보를 업로드 하며 지정된 웹사이트 주소를 방문해 클라우드 상에서 악성 메시지 내용과 전화번호를 얻는다. 이어 몰래 정해진 시간에 출처불명의 메시지와 애플리케이션을 내려 받는다. 동시에 지정된 내용의 메시지 수신을 차단하고 특정 통화기록을 삭제함으로써 요금 차감 위험을 일으킨다.

상위 5위 이내의 요금 차감류 바이러스들은 지난해에도 텅쉰의 이동전화 보안 솔루션이 퇴치한 고위험 바이러스에 뽑혔었다. 1위와 3위에 오른 ‘a.payment.MMarketPay.b.’와 ‘a.payment.fakegooglemap.’는 지난해 2월에도 퇴치 10위 안에 든 ROM 바이러스다. 또 △a.payment.lemei. △a.payment.kituri. △a.payment.MMarketPay.b.는 지난해 감염자가

가장 많은 10대 요금 차감류 바이러스 가운데 각각 1위, 3위, 4위에 올랐었다. 텅쉰은 “요금 차감류 바이러스들이 올해 1분기 들어 매우 빠른 증가 추세로 돌아섰다”며”이런 폭증은 올해 들어 밀수 스마트폰 시장의 물품 공급량과 거래량이 큰 증가세를 보인 것과 밀접한 관계가 있다”고 밝혔다.

이와 관련, 지난 1분기 동안 밀수 스마트폰 시장의 수요량은 크게 늘었으며, 많은 밀수상들도 제3의 ROM 제조상, 악성 S/W 개발자들과 손잡고 악성 ROM 바이러스 패키지 투입에 열을 올렸다. 이들 ROM 바이러스들은 단말기 안에 잠복해 있다가 몰래 이동전화 요금을 빼간다.

텅쉰은 “단말기를 개조해 악성 ROM 패키지를 내장하는 것은 기술적으로 어렵지 않은데다 최근 중국내 밀수 스마트폰과 개조 단말기 시장에 대한 관리가 혼란스러운 상황도 악성 요금 차감류 바이러스 범람에 영향을 끼치고 있다”고 설명했다.

아울러 요금 차감류 바이러스의 이윤 공간이 거대한 데다 이에 대한 법률상 감독관리가 취약한 상황도 이들 바이러스의 급증을 부추기고 있다. 모바일 보안 랩은 또 “요금 차감류 바이러스는 대량 감염과 빠른 복제의 특징으로 인해 생명력이 매우 강하다”며 “많은 사용자들이 이동전화 보안 의식이 부족한 상황에서 이들 바이러스는 인기 S/W들을 마구 복제해 감염시키고 있다”고 덧붙였다.

◆ 개인정보 절취류 바이러스, 더욱 다원화하고 공격은 입체화

지난 1분기 상위 10위 안에 든 개인정보 절취류 바이러스에 감염된 이동전화기 사용자 수는 135만 명에 달했다. 상위 4위 이내 바이러스별 감염자는 모두 20만 명을 넘었다. 특히 개인정보 절취류 바이러스에서 나타난 새로운 특징은 중국 토종 온라인 메신저인 ‘QQ’ 내 개인정보를 훔치기 시작했다는 점이다.

     

      ▲ 2013년 제1분기 중국내 개인정보 절취류 이동전화 바이러스 Top 10

이와 관련, 1분기 40만 명을 감염시킨 ‘a.privacy.kkpush’는 ‘Q절취 스파이’로 불릴 만큼 사용자의 QQ번호와 ‘QQ 음악’ 코너에서 들었던 노래 제목들을 훔친다. 이와 동시에 통화기록, 인터넷 즐겨찾기, 이동전화 연락처 같은 정보를 빼간다. 이는 이동전화 바이러스가 중국에서도 사용자가 급증하고 있는 소셜네트워킹서비스(SNS)에서 개인정보를 빼내가기 시작했다는 점을 보여주고 있다.

또 ‘Q비밀 도둑’으로 불리는 ‘a.privacy.octinn’는 QQ 등록 계정을 내장해 뒀다가 ‘QQ 친구 목록’과 생일 정보를 빼가는 등 이동전화 사용자의 QQ 계정의 안전을 위협한다. 2위에 오른 ‘a.privacy.counterclank’는 사용자 허락 없이 화면에 바로가기를 만들고 즐겨찾기 사이트를 업로드 한다. 동시에 단말기 하드웨어 정보를 수집하는 등 사적 정보의 안전을 위협한다.

또 ‘프라이버시 회충’으로도 불리는 ‘a.privacy.laucass’는 ‘Android System’라는 이름으로 사용자를 꾀어 내려 받게 한다. 이동전화기 내 설치에 성공하면, 잠복해 기회를 엿보다가 사적 비밀들을 훔친다. 이 바이러스는 이동전화기 하드웨어 정보 같은 개인정보를 업로드할 뿐 아니라 위치정보를 훔치고 몰래 녹음하며 사진·음악·동영상들을 수집한다.

이 때문에 사용자들은 상업적 비밀 유출과 사기 같은 각종 문제에 직면할 수 있다. 지난해 9월 텅쉰의 모바일 보안 랩이 처음 탐지한 이 바이러스는 올해 1분기에도 여러 경로에 널리 퍼졌으며 24만2,000명에 피해를 끼쳤다.

4위를 차지한 ‘a.privacy.kituri.a’의 경우 자동 활동개시 후 특정시간에 맞춰 임무를 개시하며, 몰래 메시지를 발송한다. 사용자 개인정보를 지정된 서버에 올리며, 확인 메시지를 차단한다.

5위에 오른 바이러스 ‘a.privacy.jwtime.’는 시스템 S/W로 위장해 설치된 후 아이콘 표시 없이 강제적으로 단말기를 켜 활동을 시작하며, 몰래 메시지를 포함한 사적 정보를 수집해 원격 서버에 올린다. 이 바이러스는 지난해 하반기 텅쉰의 이동전화 보안 솔루션에 의해 처음 발견됐으며, 지난해에만 20만 명에게 피해를 입혔다. 올해 들어서도 1분기에만 6만 명 가량이 감염 피해를 입었다.

이 바이러스가 가진 특징은 최근 중국에서 이동전화 바이러스의 위장성이 강해지고 통화기록과 메시지 같은 핵심적인 개인 비밀이 주요 절취 대상이 되고 있다는 점을 반영하고 있다고 텅쉰은 강조했다.

모바일 보안 랩은 “1분기 동안 상위 10위 이내 개인정보 절취류 바이러스를 보면, 몰래 메시지를 발송하고 사용자의 사적 비밀을 지정된 서버에 올리며 네트워크에 연결해 특정 소프트웨어를 내려 받는 행위들이 크게 눈에 띄었다”고 설명했다. 이어 “이동전화 바이러스들의 자체 조작은 더욱 지능화하고 있으며, 입체화한 공격을 통해 사용자들에게 더 큰 위험을 끼치고 있다”고 덧붙였다.

[중국 베이징 / 온기홍 특파원(onkihong@yahoo.co.kr)]

 

      <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>