중국, 2013년 요금차감류 스마트폰 바이러스 감염자 700만명 달해  

[보안뉴스 온기홍=중국 베이징] 지난해 중국에서 스마트폰 요금을 악의적으로 차감시키는 바이러스들이 매우 활개를 쳤으며 요금차감류 바이러스 감염 피해를 입은 이동전화 사용자 수는 약 700만명에 달했다.

중국 텅쉰(Tencent)은 최근 발표한 ‘2013년 이동전화 보안 보안’에서 지난해 중국 내 감염자 수 기준 상위 10위내 요금차감류 이동전화 바이러스에 감염된 사용자 수가 688만1,800명에 달했다고 밝혔다.

텅쉰의 ‘모바일 보안 랩’(Mobile Security Labs)의 조사에 따르면, △a.payment.MMarketPay.c △a.payment.MMarketPay.b △a.payment.monoplayer △a.payment.ms.b △a.payment.MMarketPay.d △a.payment.letu △a.payment.daemon △a.payment.cc △a.payment.kituri. △a.payment.pman 순으로 요금차감류 스마트폰 바이러스 톱10 안에 들었다.

1위의 ‘a.payment.MMarketPay.c’와 2위(160만5992명 감염)의 ‘a.payment.MMarketPay.b’(일명 ‘가짜 가면 2’), 5위(62만555명 감염)의 ‘a.payment.MMarketPay.d’는 이른바 ‘가짜 가면)’ 계열의 ‘고위험급’ 바이러스들로 지난 2012년 이후 자주 출현했다.

이들 바이러스는 단말기 내 APN(Access Point Name)을 이동통신운영회사인 중국이동통신의 모바일 인터넷 망인 ‘CMWAP’로 몰래 바꾸고 백그라운드에서 중국이동통신의 요금차감 기능을 모방해 요금을 빼간다. 이어 중국이동통신에서 발송한 요금차감 확인 메시지를 차단해, 사용자가 모르는 사이 요금차감 피해를 입게 한다.

이 ‘가짜 가면’ 계열 바이러스들은 지난 2012년에도 대량의 유명 소프트웨어들에 피해를 입혔다. 이 바이러스의 특징은 요금차감과 프라이버시 절취 행위다. 해커는 이 바이러스를 유명 상용 소프트웨어들 안에 대량으로 2차 패키징 한다.

중국 내 많은 스마트폰 사용자들이 전자마켓과 이동전화 정보토론 사이트 같은 경로를 통해 발표된 이 바이러스에 감염됐다. 텅쉰은 이들 ‘가짜 가면’ 계열 바이러스가 완고성이 강하고 위험성이 매우 높은 요금차감류 트로이목마라고 밝혔다.

또 다른 요금차감류 바이러스 ‘a.payment.staservice’는 스마트폰 내 설치 후 단말기를 켜서 강제 활성화하며 단말기 하드웨어 정보를 업로드 한다. 또 사전에 지정된 웹 주소를 방문해 클라우드 상에서 악성 메시지 내용과 악성 앱 프로그램 등을 획득한다.

이어 단말기에 정시 서비스를 설치해 몰래 메시지를 발송하고 미지의 번호에 전화를 걸며, 출처불명의 앱 프로그램을 내려 받는다. 동시에 지정된 내용의 메시지를 차단하고 지정 통화기록을 삭제한다.

텅쉰은 “이 바이러스는 입체화된 프라이버시 절취 공세를 펼치는데, 메시지와 주소록을 포함한 프라이버시를 대상으로 전면적인 차단과 절취 행위를 한다”며 “또 몰래 전화를 걸고 메시지를 발송하며 요금을 차감하지만 사용자는 이를 전혀 모른다”고 밝혔다. 이는 요금차감류 바이러스의 위험도가 커지고 있는 상황을 반영하고 있다는 설명이다.

이번에 3위(약 102만명 감염)를 기록한 ‘a.payment.monoplayer’는 음란 내용으로 스마트폰 사용자를 꾀어 설치하게 하며, 활동 개시 후 몰래 다른 설치 패키지를 내려 받는다. 또 메시지를 발송해 서비스를 주문하는 등 악의적 요금차감 행위를 한다.

4위(85만5800여명 감염)의 ‘a.payment.ms.b’ 바이러스는 자동 활성화 후 백그라운드에서 지정된 이동통신운영회사의 번호로 요금차감 메시지를 발송한다. 이어 이동통신운영회사가 보낸 확인 메시지를 막는다. 이 바이러스는 또 클라우드 지령의 운영 기록을 사전에 지정된 전화번호로 발송하며, 사용자 프라이버시를 유출시키는 것으로 밝혀졌다.

지난해 46만2,000여명을 감염시킨 ‘a.payment.letu’(6위)는 스마트폰 내 설치 후 몰래 메시지를 발송하는 동시에 사용자의 메시지를 차단한다. 악의적 요금차감과 맬 웨어 행위를 한다.

또한 7위(46만여명 감염)의 ‘a.payment.daemon’ 바이러스의 경우, 모바일 게임 명의로 사용자를 꾀어 내려 받아 설치하게 하며, 활성화한 다음엔 백그라운드에서 이동통신운영회사의 번호로 서비스 구매 정보를 발송하고 고액의 서비스를 주문한다. 이어 이에 상응한 회신 메시지를 삭제해, 사용자가 자신도 모르는 사이에 고액의 요금을 내게 한다.

8위(36만4,800여명 감염)의 ‘a.payment.cc’는 활동 개시 후 자동으로 지정된 번호로 메시지를 발송해 요금소모 피해를 불러 온다.

이른바 ‘프라이버시 허리케인’으로 불리는 ‘a.payment.kituri.’는 지난해 33만8,500여명에게 감염 피해를 끼쳤다. 이 바이러스는 몰래 메시지를 발송하고, 정시 임무를 진행하며, 사용자 프라이버시 정보를 사전에 지정된 서버에 올린다. 또 전송돼 온 회신 메시지를 악의적으로 차단한다.

이 밖에 10위(31만8,700여명 감염)의 ‘a.payment.pman’는 활동 개시 후 이용자를 속여 메시지를 발송케 해 악의적으로 요금을 차감한다. 또 출처불명의 소프트웨어 패키지를 내려 받아 몰래 설치한다. 이어 스마트폰 정보를 수집해 지정된 서버에 올림으로써 요금소모와 프라이버시 유출을 야기한다.

이 가운데 8위의 ‘a.payment.cc’, 9위의 ‘a.payment.kituri.’, ‘10위의 ‘a.payment.pman’는 전형적인 요금차감류 바이러스들로서, 백그라운드에서 몰래 메시지를 발송하고 이동통신운영회사가 보낸 확인 메시지를 가리며 사용자가 모르는 사이에 요금을 ‘빨아들이는’ 점이 공통적인 특징인 동시에 요금차감류 바이러스의 전형적 특징이다.

텅쉰은 “지난해 10대 요금차감류 이동전화 바이러스는 대부분 목표물이 ‘미녀 배경화면’, 인기 모바일 게임, 바둑·장기류 게임에 집중돼 있었다”며 “이들 모바일 게임은 금화 도구 같은 방면의 승패에 관련돼 있는데 바이러스들이 몰래 요금을 차감할 수 있어서 사용자는 전혀 알아 채지 못한다”고 지적했다.

[중국 베이징 / 온기홍 특파원(onkihong@yahoo.co.kr)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>