감염된 핸드폰 주소록 통해 악성 URL 연결 메시지 발송

[보안뉴스=BLACKGUEST] 최근 국가인터넷응급센터에서는 중국 반네트워크바이러스 연맹(ANVA)의 모니터링 결과 일종의 인증메시지 발송 방식을 통한 악성 트로이목마 ‘A.Privacy.cckun.a’가 발견됐다.

이 악성 프로그램은 감염된 핸드폰의 주소록을 통해 각 주소록에 등록되어 있는 사람들에게 악성 URL에 연결되는 메시지를 발송한다. 그리고 백그라운드에서 몰래 핸드폰 트로이목마를 다운로드하고 동시에 감염된 사용자의 디바이스 정보, SMS, 연락처 등의 정보를 훔친다.

보안관리자는 국가인터넷응급센터에 해당 악성 프로그램에 대해 통보한 직후 해당 바이러스에 대해 분석과 검사를 실시해 개인정보를 수집하는 종류의 바이러스로 확인됐고, 현재 해당 보안관리자는 해당 바이러스에 대해 이미 치료와 차단을 수행했다고 밝혔다.

보안관리자가 클라우드보안센터에서 발견하여 분석한 이런 종류의 바이러스는 퍼지는 방식이 매우 쉽고 휴대폰 주소록에 들어가서 메시지도 보낼 수 있다. 뿐만 아니라 휴대폰의 정상적인 금융 소프트웨어를 교체하여 사용자의 개인정보와 돈에 심각한 손실을 끼칠 수 있다. 그런데 이러한 종류의 바이러스는 한국이 주표적이 되고 있으며, 아직 중국에까지 넓게 확산되지는 않았다.

이 바이러스는 구글 플레이 스토어 아이콘을 위장하고 공식 구글 플레이 스토어 아이콘과 일치한다. 이 바이러스는 아래 두 가지 큰 위험이 있다.

1. 소프트웨어를 작동하면 바로 주소록을 읽어 메시지를 대량 발송한다. 메시지 내용은 http://happy.kakaobe.com 또는 http://198.148.81.76 등이고 당신의 친구가 메시지를 받고 이 링크를 클릭하면, 이 소프트웨어를 다운 받을 수 있고 메시지를 통해 매우 많은 악성 링크가 유포될 수 있어 위험성이 상당히 크다.

2. 이 바이러스는 사용자 휴대폰에 com.kbstar.khbank, nh.smart, com.webcash.wooribank 3가지 한국의 은행 소프트웨어가 설치되어 있는지 검사하고 사용자에게 삭제하라고 일러줄 수 있다. 또한, ‘원터치 확인’이라는 다른 바이러스 프로그램을 설치하여 사용자의 은행 계정을 모두 빼낸다.

이 바이러스는 주로 메시지를 통해 확산되고 있으므로 보안관리자는 사용자가 URL이 포함된 메시지를 받았을 때, 마음대로 열지 말고 수시로 스마트폰 보안소프트웨어를 사용하여 검사할 것을 당부했다.

[출처: PCHome(www.pchome.net/)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>