지난 상반기 중국 주요 모바일 바이러스는 ‘요금 소모’류 바이러스

[보안뉴스 온기홍=중국 베이징] 지난 상반기 중국에서 많은 감염 피해자 수를 야기한 10대 이동전화 바이러스 가운데 상위 1~3위는 모두 악성 ‘요금 소모’류 바이러스인 것으로 밝혀졌다.

중국 포털·메신저·게임·보안회사인 텅쉰(QQ.com) 산하 ‘모바일 보안 랩’(QQSecurityLab)은 최근 발표한 ‘2013년 상반기 이동전화 보안 보고’를 통해 올 상반기 중 감염자 수가 많은 10대 스마트폰 바이러스를 조사해 발표했다.

      ▲ 2013년 상반기 중국내 감염자 수 최다 이동전화 바이러스 TOP 10

지난 상반기 중 10대 이동전화 바이러스가 감염 시킨 이동전화기 사용자 수는 796만 4,000명에 달했다. 감염자 수 기준 상위 1~3위의 이동전화 트로이목마는 △a.expense.dpn(감염자 161만3,227명) △a.expense.lunar(110만1,719명) △a.expense.cc(88만4,224명) 순이었다. 이들은 모두 악성 ‘요금 소모’류 트로이목마 바이러스로 드러났다.

이어 △a.rogue.centero △a.privacy.kituri.a △a.rogue.kuaidian360 △a.privacy.fakegooglemap △a.remote.i22hk △a.privacy.fakeNetworkSupport △a.payment.kituri 순으로 바이러스 감염 이동전화기 사용자 수가 많았다.

톱10 가운데 ‘개인정보 절취’류 특징을 가진 바이러스는 △a.privacy.kituri.a △a.payment.fakegooglemap.(‘구글 맵’으로 위장) △a.privacy.fakeNetworkSupport(네트워크 S/W로 위장) △a.payment.kituri(일명 프라이버시 허리케인)이었다.

또한 상반기 중 ‘요금 차감’류 바이러스가 이동전화기 사용자 개인정보를 빼내는 경향도 두드러졌다. ‘톱10’ 중 ‘a.privacy.kituri.a’와 ‘a.payment.kituri’ 등과 같은 ‘요금 차감’류 바이러스는 동시에 사용자 개인정보를 업로드하고 확인요청 메시지를 몰래 차단해 요금을 차감시키는 특징도 갖고 있다고 텅쉰 측은 설명했다.

이들 톱10 이동전화 바이러스가 묶음 투입에 집중한 대상은 △시스템 필수 소프트웨어(S/W) △모바일 게임 △여행·쇼핑 △SNS 전자상거래류 소프트웨어 등인 것으로 나타났다. 대표적으로는 △만년력 △이거우 △시에청 무선 △미녀 달력 △문건 관리기 △중국판 트위터인 ‘웨이보어’ △중국판 카카오톡인 ‘웨이신’ △유투브(YouTube) 등 유명 S/W들이 ‘톱10’ 이동전화 바이러스에 감염됐다.

상위 10대 바이러스의 특징을 살펴 보면, 먼저 가장 많은 감염자를 낸 ‘a.expense.dpn’ 바이러스의 경우, ‘톈치통’과 ‘산궈다푸웡’ 같은 유명 애플리케이션에 삽입돼 활동 개시 뒤 몰래 네트워크에 연결해 특정 S/W를 내려 받아 설치하며 악의적으로 이동전화 요금 소모를 일으킨다.

감염자 수 기준 2위에 오른 바이러스 ‘a.expense.lunar’는 설치 후 루트(ROOT)권한을 신청하며 몰래 S/W를 내려 받아 설치해 요금 소모 피해를 야기한다. 불법세력은 이 바이러스를 ‘만년력’과 ‘임무 관리기’ 같은 인기 애플리케이션에 넣었다.

이어 ‘a.expense.cc.’ 바이러스(3위)는 몰래 특정 S/W를 내려 받아 설치하고, 일정한 트래픽 소모를 야기하면서 이동전화 보안을 위협한다. 이 바이러스는 ‘안드로이드 애플리케이션’, ‘이거우’, ‘뤼더우션치’ 등 S/W를 감염시켰다.

감염자 수 기준 5위에 오른 ‘a.privacy.kituri.a’는 스마트폰에 설치 뒤 몰래 메시지를 발송하고, 자체 활동개시 후 특정시간에 맞춰 임무를 시작한다. 사용자 개인정보를 지정된 서버에 올리고, 확인요청 메시지를 악의적으로 차단한다. 셔우웨바오쿠와 싱윈상상첀 같은 S/W를 감염시켰다.

4위인 ‘a.rogue.centero’는 단말기 내 설치 후 감시제어 활동을 개시해, 몰래 제3자 유명 애플리케이션 화면을 점용하고 광고정보 게시를 강행함으로써 요금 트래픽 소모를 초래한다. 이 바이러스는 런런망, 톈야스취, 유투브 같은 국내외 유명 SNS·토론·동영상 애플리케이션을 감염시켰다.

바이러스 ‘a.rogue.kuaidian360’(6위)도 설치 후 악성 감시제어 활동을 시작하고 클라우드 명령을 실행하며 몰래 제3의 유명 애플리케이션 화면을 점용하고 광고정보 게시를 강행한다. 이로써 사용자 체험에 악영향을 끼치고 맬 웨어 행위를 한다. 중국판 카카오톡인 ‘웨이신’, 트위터와 비슷한 ‘웨이보어’, ‘바이두 써우쒀’, ‘hao123 다오항’ 등 유명 S/W를 감염시켰다.

7위를 차지한 ‘a.privacy.fakegooglemap’는 구글 맵(Google Map) 애플리케이션으로 위장해 사용자를 속여 설치하도록 하며 아이콘이 없다. 이어 단문메시지를 발송하거나 메시지를 차단하고 통신기록을 빼감으로써 이동전화 보안과 개인정보에 위협을 가한다. 이 바이러스는 구글 맵과 시스템 서비스(System Service) 같은 S/W에 삽입됐다.

또한 ‘a.remote.i22hk’(8위)는 단말기에서 활성화한 다음 자동으로 IMEI·IMSI를 포함한 정보를 http://www.***.hk에 업로드하고, 클라우드 명령을 받아 이동전화기를 제어한다. 아울러 지정된 번호가 발송하는 단문메시지를 막는 동시에 인터넷 브라우저 갈피표를 수정하고네트워크에 연결해 출처불명의 프로그램을 내려 받아 이동전화 보안을 위협한다. 시에청무선, 카이신망, VANCL 등 유명 S/W들에 침입했다.

이와 함께 ‘a.privacy.fakeNetworkSupport’(9위)는 안드로이드 OS 네트워크 부가 S/W로 위장해 사용자를 속여 설치하게 하며, 아이콘 없이 활동 개시 후 몰래 이동전화 단문메시지 정보를 읽거나 삭제·차단한다. 또 몰래 네트워크에 연결해 S/W를 내려 받는 등 이동전화 보안에 일정한 위협을 야기한다. 이 바이러스는 ‘Android 시스템패치’과 ‘Android_Network_Support 같은 S/W를 감염시켰다.

이 밖에 ‘프라이버시 허리케인’으로도 불리는 ‘a.payment.kituri’(10위) 바이러스는 단말기 내 설치 후 몰래 단문메시지를 발송한다. 활동 개시 후 특정 시간에 맞춘 임무에 착수하며, 사용자 개인정보를 지정된 서버에 올린다. 발송돼 오는 확인요청 단문메시지를 악의적으로 차단한다. 불법세력은 이 바이러스를 ‘요우시바우쿠(게임 보고)’, ‘미녀 달력’, ‘워크래프트 백만장자’ 등 S/W에 넣었다.

이 중 각각 3위와 8위에 오른 ‘a.expense.cc’와 ‘a.remote.i22hk’는 지난해 감염자 수가 많은 이동전화 바이러스 가운데 2위에 오른 바 있다.

텅쉰 측은 “올해 상반기 감염 피해자가 많은 10대 바이러스나 악성 S/W는 각 경로에서 유통성과 생명력이 한층 더 강해졌다”며 “바이러스 제작자나 조직들이 단일 악성 S/W에 대해 대량 복제와 연속적인 2차 패키징도 강화했다”고 설명했다.

텅쉰의 발표에 따르면, 지난 상반기 안드로이드 OS 바이러스에 감염된 스마트폰 사용자 수는 3,819만6,000명으로 전체 바이러스 감염 스마트폰 사용자 수의 90.7%를 차지했다.

텅쉰은 “상반기 중 중국에서 이동전화 바이러스는 여전히 고속 상승의 궤도에 놓였으며, 사용자를 대량으로 감염시키는 악성 S/W나 이동전화 트로이목마는 집중화·핵분열 방식으로 사용자를 감염시키는 흐름을 보였다”고 덧붙였다.

[중국 베이징 / 온기홍 특파원(onkihong@yahoo.co.kr)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>