‘Google play’ 앱 위장한 바이러스도 활개...수십 만명 감염 피해

[보안뉴스 온기홍=중국 베이징] 중국에서 제3분기에 바이러스에 의해 변조·감염된 스마트폰 애플리케이션(앱)을 이용했다가 감염 피해를 입은 사람이 연인원 208만명에 달한 것으로 밝혀졌다.

중국의 텅쉰(QQ.com) 산하 모바일 보안 랩(Tencent Mobile SecurityLab)은 최근 내놓은 자체 조사 보고에서 제3분기 중 바이러스 패키지에 의해 변조된 스마트폰 앱을 설치해 감염 피해를 당한 사용자 수량 기준 상위 10위 내 스마트폰 앱을 발표했다.

10대 스마트폰 앱은 △이뱬첀 △징핀투이쟨(정품추천) △Maxthon Browser △쿠워 음악 △메이메이러보 △Mobile Video △플래쉬(셔우뎬통) △톈치통 △이거우 △청런비베이 순이었다.

텅쉰은 3분기 바이러스에 의해 변조된 10대 앱을 스마트폰에 설치해 감염 피해를 입은 사람은 연인원 208만9,000명을 넘었다고 밝혔다. 이들 10대 스마트폰 앱을 2차 패키징 방식을 통해 감염시킨 바이러스들은 대표적으로 △a.privacy.pops.m △a.expense.fakeKernel.b △a.fraud.ginmaster.d △a.fraud.go360.b △a.expense.forge △a.fraud.eyu.a △a.expense.newginger △a.expense.afoynq.a △a.system.masterkey.a △a.payment.ms.b 등이었다.

      

▲ 2013년 제3분기 중국 내 바이러스에 의해 변조되고 감염된 스마트폰 사용자가 많은 애플리케이션 톱10. (출처:중국 텅쉰 산하 모바일 보안 랩)

이들 바이러스의 특징을 보면, 감염 피해자 수량 기준 1위 앱 ‘이뱬첀’을 감염시킨 대표적인 바이러스 ‘a.privacy.pops.m’는 스마트폰 내 설치 후 시스템 작동에 발맞춰 메시지 수신을 감청해 원격 서버로 전송함으로써 사용자 개인정보 유출을 초래한다. 이 바이러스가 들어 있는 앱을 스마트폰에 설치한 사람은 50만8,500명에 달했다.

지난 3분기 ‘이뱬첀’ 앱은 3,150개 바이러스 패키지에 의해 변조됐으며, 감염 피해자 수는 33만9,000명을 넘었다. 앱 ‘이뱬첀’을 변조시킨 또 다른 바이러스로는 ‘a.privacy.fakelight.b’ 등 프라이버시 절취류 바이러스가 있다.

‘이뱬첀’ 앱은 일정을 관리하는 스마트폰 쪽지ㆍ메모 S/W로서 실용성과 편리성을 갖춰 많은 중국 직장인들의 필수 앱 가운데 하나로 자리잡았다.

텅쉰은 “메모류 앱의 경우 매체들의 주목도가 낮은 가운데 설치 이용자 수가 상대적으로 많은 편이고 안정성도 좋기 때문에 앱 ‘이뱬첀’은 바이러스가 노리는 목표물이 됐다”며 “메모류 앱은 일상 관리류 S/W로서 프라이버시 절취류 바이러스에 의한 감염 위험에 놓여 있다”고 지적했다.

     

▲ 2013년 제3분기 중국 내 스마트폰 용 쪽지ㆍ메모 애플리케이션인 ‘이뱬첀‘에서 바이러스 ‘a.privacy.fakelight.b’가 탐지된 화면.

스마트폰 앱 ‘징핀투이쟨’(정품추천)을 감염시킨 대표적인 바이러스 ‘a.expense.fakeKernel.b’는 네트워크에 연결해 악성 명령을 받고, 보안 프로그램을 파괴하며 다른 앱들을 마구 확산시켜 사용자에게 요금소모 피해를 입힌다. 제3분기 중 스마트폰 사용자 42만480명 가량이 이 바이러스가 패키징된 ‘징핀투이쟨’ 앱을 설치했다.

앱 ‘Maxthon Browser’을 감염시킨 바이러스 ‘a.fraud.ginmaster.d’는 몰래 네트워크에 연결해 S/W를 내려 받아 설치하는 등 스마트폰 보안을 위협한다. 3분기에 35만8,470명이 이 바이러스 패키지를 내려 받았다.

앱 ‘쿠워 음악’에 들어가 변조·감염시킨 대표적 바이러스 ‘a.fraud.go360.b’의 경우 몰래 APN을 CMWAP로 바꾼 다음 백그라운드에서 중국이동통신(China Mobile)의 MobileMarket의 요금차감 포트를 클릭해 검증을 진행한다. 이어 전송돼 온 요금차감 확인 문자를 차단시켜 사용자가 모르는 사이에 요금차감 피해를 입게 한다. 30만5,910명이 이 바이러스가 패키지를 다운로드 했다.

앱 메이메이러보를 감염시킨 바이러스 ‘a.expense.forge’는 음란한 내용으로 사용자를 꾀어 설치하게 하며, 몰래 다른 설치 파일을 내려 받고, 문자 정기 열람 서비스를 신청해 악의적으로 요금을 차감한다. 27만7,020명이 이 바이러스 패키지를 설치했다. 바이러스들이 패키징을 노리는 대상이 된 앱 ‘메이메이러보’는 3분기 중 ‘a.payment.moonplayer’, ‘a.expense.mdk.za’를 비롯한 9,450개 바이러스의 패키징에 의해 변조됐다. 감염 피해자 수는 18만4,600명에 달했다.

6위에 오른 앱 ‘Mobile Video’을 감염시킨 바이러스 ‘a.fraud.eyu.a’은 단말기 내 설치 후 사용자의 동의 없이 백그라운드에서 몰래 출처불명의 S/W를 내려 받는 등 요금소모와 맬 웨어 행위를 펼친다. 27만4,500명이 이 바이러스 패키지를 내려 받았다.

7위의 앱 ‘플래쉬(셔우뎬통)’에 투입된 바이러스 ‘a.expense.newginger’는 유명한 인기 앱에 패키징해 들어가 악성 광고를 투입하며, 알림 표시 없이 몰래 바로가기를 만든다. 또 인터넷 즐겨찾기를 수정하며, 알림 표시 없이 몰래 S/W를 내려 받아 요금소모를 초래한다. 25만6,320명이 이 바이러스가 2차 패키징한 앱을 설치했다.

제3분기 중 ‘플래쉬’ 앱은 5,040개 바이러스에 의해 패키징 감염됐으며, 감염 피해자 수는 17만 명에 달했다. 텅쉰은 3분기에 ‘플래쉬’ 앱을 감염시키는 바이러스 가족이 규모를 갖춰 나타났다고 설명했다. 대표적으로 △a.expense.g3app.a △a.expense.g3app.b △a.expense.g3app.c △ a.expense.g3app.d 등 바이러스 ‘가족’이 ‘플래쉬’ 앱을 감염시켰다고 텅쉰은 덧붙였다.

아울러 △a.payment.MMarketPay.b △a.spread.fogo.a △a.payment.dxkf 와 3분기 감염 피해자 수가 가장 많은 바이러스 ‘a.expense.newginger’도 ‘플래쉬’ 앱에 악성 코드를 삽입해 감염시켰다. 바이러스 ‘a.expense.newginger’는 3분기 중 감염 피해자 수 기준 1위(연 111만3,911명), 감염시킨 스마트폰 앱이 많은 바이러스 기준 5위(3,999개 앱 감염)에 각각 올랐다.

텅쉰의 모바일 보안 랩은 “스마트폰 사용자들의 필수 앱인 ‘플래쉬’ 같은 앱을 대상으로 2차 패키징을 통해 감염시킨 바이러스는 사용자들을 오랫동안 잡아 놓고 악의적으로 S/W나 팝업 광고를 내려 받아 이익을 챙긴다”고 밝혔다. 플래쉬 같은 앱은 바이러스들이 앞다퉈 변조시켜 불법 이익을 거두는 대상이 됐다는 설명이다. 이는 바이러스 제작자나 단체들이 스마트폰 사용자의 앱 사용 습관과 심리 등을 살핀 뒤 내놓은 바이러스 투입 전략의 하나라고 텅쉰은 분석했다.

8위에 오른 앱 톈치통을 상대로 패키징 감염을 한 바이러스 ‘a.expense.afoynq.a의 경우, 정상적인 앱으로 위장해 사용자가 내려 받아 설치하게 한다. 이어 백그라운드에서 몰래 메시지를 발송하는 동시에 전송돼 온 메시지를 차단함으로써 사용자 프라이버시와 보안을 위협하게 된다. 3분기 중 스마트폰 사용자 16만5,117명이 이 바이러스 패키지를 내려 받았다.

또 앱 이거우를 감염시킨 바이러스 ‘a.system.masterkey.a’는 ‘masterkey’ 취약점을 악용해 정상적 앱에 많이 삽입됐으며, 사용자가 바이러스 퇴치 프로그램을 설치하지 않을 것을 확인한 후 몰래 특정 서비스를 주문했다. 또 사용자의 연락처 내 사람들에게 악성 S/W 다운로드 추천 메시지를 발송하며, 악성 요금차감과 전파 행위를 벌인다. 이 바이러스 패키지를 설치한 사용자는 16만2,450명으로 조사됐다.

10위를 차지한 앱 청런비베이(성인 필비·成人必?)를 변조·감염시킨 바이러스 ‘a.payment.ms.b’은 활성화 후 백그라운드에서 임의로 지정된 이동전화 서비스 번호로 요금차감 메시지를 발송하며, 서비스회사가 보내 온 확인 메시지를 차단한다.

또 클라우드를 통해 운영 기록을 지정된 이동전화 번호로 발송함으로써 사용자 프라이버시를 유출시킨다. 16만1,325명이 이 바이러스 패키지를 내려 받았다. 또 3분기 중 앱 ‘청런비베이’을 변조·감염시킨 바이러스는 ‘a.privacy.counterclank’을 비롯해 7,200개인 것으로 파악됐다.

텅쉰의 모바일 보안 랩은 “메이메이러와 청런비베이 처럼 음란 내용을 포함하는 경향이 있는 앱은 많은 재택 남자들이 많은 앱 다운로드 경로에서 찾는 목표물이자 스마트폰 내 필수 앱 가운데 하나가 됐다”고 설명했다.

모바일 보안 랩은 이어 “이들 유혹성 강한 앱은 바이러스와 2차 패키징 된 후, 심사 체계가 완전하지 않은 이동전화 정보토론 사이트 같은 앱 다운로드 경로에 올려져 사용자들이 내려 받고 있는 상황이다”며 “이로 인해 스마트폰 사용자들이 감염을 당할 확률이 매우 높다”고 덧붙였다.

안드로이드 앱 ’Google play’, 신형 바이러스의 공격 대상 떠올라

또한 중국에서 지난 3분기 중 바이러스에 의해 변조되고 패키징 된 ‘톱10’ 앱 외에, 유명 앱 ‘Google play’도 신형 바이러스의 공격 대상이 됐다. 텅쉰 측은 “신형 바이러스들이 ‘Google play’로 위장하거나 변조시킨 후 사용자를 속여 설치하게 했다”며 “이런 신형 바이러스는 스마트폰 사용자들이 막을 수 없는 바이러스 공격 방식을 보였다”고 밝혔다.

텅쉰 산하 모바일 보안 랩의 조사에 따르면, 지난 3분기 Google play는 ‘메시지 백정’(돤신 투푸)으로 불리는 신형 바이러스 ‘a.expense.fakegooglegame’의 위장과 변조의 목표물이 됐다. 

바이러스 ‘a.expense.fakegooglegame’는 Google Play로 위장해 일반 사용자들이 진위를 판단하기 어렵게 했다. 이 바이러스는 스마트폰 사용자의 주소록에 접근하고, 연락처 정보를 훔친다. 동시에 사용자가 모르는 상황에서 몰래 메시지를 발송하며, 모든 문자 메시지를 차단해 스마트폰이 어떠한 정보도 받을 수 없게 한다. 이로 인해 사용자는 중요한 메시지를 놓치고 모르게 되는 등 심각한 피해를 입을 수 있다. 최근 12만6,5000명의 사용자들이 이 바이러스에 의해 감염 피해를 입었다고 텅쉰은 밝혔다.

이 바이러스 외에 3분기 중 Google Play로 위장한 ‘a.fraud.kakaobe’(일명 바이러스 메시지 허리케인(두신 쥐펑）, ‘a.expense.KRKakePK(일명 메시지 집단마귀(돤신 췬모)’ 등 여러 종의 안드로이드(Android) 바이러스들도 텅쉰의 이동전화 보안프로그램에 의해 탐지됐다.

이 가운데 지난 9월 말 탐지된 ‘a.fraud.kakaobe’은 ‘uet http://happy.kakao**.com’, ‘http://samsung.kbs**.com’ 또는 ‘start http://198.148.81.*’ 등 악성 웹 주소와 링크를 담고서 스팸 문자 메시지 집단 발송을 통해 전파된다.

사용자가 이 악성 웹 주소를 클릭할 경우, 바이러스 트로이목마 프로그램을 자동으로 내려 받아 설치하게 된다. 다운로드 된 트로이목마는 ‘Googleplay’ 아이콘으로 위장하고 ‘play ???’로 명명되는데, 사용자는 진위 식별이 어렵다. 이어 트로이목마는 스마트폰 내 주소록 상의 모든 연락처 대상자를 빼내고, 악성 웹 주소가 들어 있는 문자 메시지를 집단 발송해 확산시킨다.

이 트로이목마는 또 바이러스 파일을 통해 스마트폰 내 연락처 정보와 단문 메시지를 훔쳐서 지정된 서버에 올림으로써 사용자의 프라이버시를 유출시킨다. 최근 중국 내 15만3,600명의 안드로이드 OS 스마트폰 사용자들이 ‘a.fraud.kakaobe’ 바이러스에 감염됐다.

또 ‘a.expense.KRKakePK’ 바이러스도 ‘Google Play’로 위장하는데, 스마트폰이 이 바이러스에 감염되면, 원격으로 명령을 받아 집단 메시지를 발송하고, 심지어 디도스 공격도 야기해 사용자의 스마트폰을 마비시킬 수 있다고 텅쉰은 강조했다.

텅쉰은 “안드로이드 OS의 ‘Google Play’로 위장하는 바이러스들은 비정상적인 문자 메시지를 만들어서 사용자의 프라이버시를 훔치고 스마트폰을 훼손시키는 등 공격 행위의 위해성이 심해진다”고 설명했다.

[중국 베이징 / 온기홍 특파원(onkihong@yahoo.co.kr)]

     <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>