트로이목마 ‘폭탄 앨범·황총’, 바이러스 ‘XX신기’ 활개

[보안뉴스 온기홍=중국 베이징] 중국에서 최근 지인을 사칭해 각종 모임 사진과 인터넷 주소 링크 속에 악성 SW를 숨긴 이동전화 메시지를 보내고 수신자의 인터넷 사이트와 뱅킹의 계정·비밀번호를 빼내는 사례가 잇따르고 있다.

‘폭탄 앨범’ 트로이목마, 몰래 메시지 발송하고 중요 정보 훔쳐

중국 치후360의 인터넷보안센터는 지난해 12월 초 자국에서 ‘폭탄 앨범’으로 불린 이동전화 트로이목마가 메시지를 통해 대량으로 퍼진 것을 탐지했다.

이 트로이목마는 ‘슈퍼’급 이동전화 트로이목마로 불린 ‘황총(메뚜기)’와 유사한 전파방식을 써서 스마트폰 사용자를 꾀어 클릭해 단말기에 설치하게 한다. 이어 재차 스마트폰 연락처 내 사람들에게 트로이목마 링크가 포함된 메시지를 발송한다.

360인터넷보안센터가 접수한 신고 내용에 따르면, 중국 쉬저우에서 사업을 하는 겅 모씨는 한 이동전화 메시지를 받고 “누구냐?”고 메시지를 보냈다. 그 뒤 그가 보유한 은행 카드 2장에서 자금 이체가 이뤄진 것으로 확인됐다. 총 5,760위안이 몰래 이체돼 사용됐다.

360인터넷보안센터는 “이는 답신 메시지에 트로이목마가 설치돼 일어난 사건”이라며 “겅 모씨가 받은 메시지의 트로이목마는 이전에 (중국 모바일 메신저) 웨이신에서 출현했던 ‘앨범 폭탄’이란 이동전화 트로이목마와 매우 유사하며 사건 배경이 웨이신에서 이동전화 메시지로 바뀌었을 뿐이다”라고 설명했다.

‘황총’ 트로이목마, 하루 500만건 사기 메시지 발송·50만대 감염

중국에서 지난해 8월 2일 전통 절기인 ‘칠석’ 때 ‘황총’이란 이름의 이동전화 트로이목마가 나타나 기승을 부렸다. 360인터넷보안세터는 이날 자사 이동전화 보안S/W 사용자들로부터 ‘황총’ 바이러스에 대한 대량의 신고를 받았다고 밝혔다.

사용자들의 신고 내용을 종합해 보면, 이 트로이목마가 자신의 스마트폰에서 연락처 내 사람들에게 메시지를 마구 발송하고, 상대방(수신자)를 꾀어 ‘XX신기’란 이름의 바이러스가 들어간 스마트폰 앱을 내려 받게 하며 메시지 안에 수신자의 이름도 넣어 상대방을 쉽게 속였다고 밝혔다. 스마트폰 사용자가 이에 속게 되면, 트로이목마는 재차 더욱 광범위하게 퍼지게 된다고 센터는 설명했다.

지난해 8월 2일 하루에만 ‘황총’ 트로이목마가 발송한 사기·편취성 메시지 건수는 500만 건에 달했다. 동시에 중국에서 이 트로이목마에 감염된 스마트폰은 50만 여대였다.

360인터넷보안센터는 “이처럼 짧은 시간 안에 많은 스마트폰 사용자에게 감염 피해를 입힌 트로이목마는 최근 여러 해 동안 매우 드물었다”고 설명했다. 센터는 “이 트로이목마 제작자는 감염 스마트폰의 정보를 수집하기 위해 자신의 스마트폰 번호와 전자우편 같은 개인정보를 이 트로이목마의 코드 안에 넣었다”며 이를 발견해 경찰에 신고했다고 덧붙였다.

이에 따라 ‘황총’ 트로이목마가 퍼지기 시작한 지 24시간도 안 돼 광동성 선전시 경찰은 트로이목마 제작자를 붙잡았다. 제작자는 올해 19세에 불과한 중난대학 1학년 재학생 리모 군으로 밝혀졌다.

이 ‘황총 트로이목마’가 끼친 주요 피해 내용을 보면, 먼저 ‘황총’은 단말기에 저장된 연락처 내 사람들에게 트로이목마 다운로드 링크가 포함된 메시지를 자동 발송했다. 뿐 아니라, 메시지 안에 수신자의 이름을 적어 드러내는 등 ‘미혹성’도 매우 크다는 게 보안전문가들의 평가다.

둘째는 프라이버시 절취. 이 트로이목마는 ‘XX신기’란 이름의 스마트폰 앱을 연 뒤 사용자에게 성명과 신분증 번호 따위 정보를 입력하도록 요구했다. 이들 정보는 특정 이동전화 전화번호로 발송됐다.

셋째, 메시지 내용을 위조하거나 삭제할 수 있다. 넷째, 이동전화기 안의 모든 메시지를 특정 이동전화 전화번호로 전달한다. 다섯째, 해커로부터 원격으로 명령을 받은 뒤 모든 연락처 정보를 특정 전자우편 주소로 발송한다. 광동성 선전시 검찰은 지난해 10월 중순 이 트로이목마를 만든 리모 군의 범죄 내용과 범위가 경미하다며 기소하지 않기로 결정했다.

하지만 중국 정보보안전문가들은 “범죄를 저지르는 비용이 적은 편이어서 이동전화 트로이목마의 제작·판매·전파는 완전한 ‘검은 산업사슬’로 커졌으며, 이동전화 트로이목마는 폭발적으로 증가하고 있다”고 강조했다.

‘XX신기’ 바이러스, 스마트폰 754만대 감염 시켜

중국에서 지난해 8월 2일 전통 절기인 ‘칠석’ 때 ‘XX신기’란 이름이 붙은 이동전화 바이러스 ‘com.example.xxshenqi’가 널리 퍼졌다. 이른바 ‘슈퍼 모바일 바이러스’로도 평가 받은 이 바이러스의 제작자는 이동전화기 코딩에 입문한 지 얼마 안된 대학 1학년 학생으로 밝혀졌다.

텐센트 모바일보안랩은 “XX신기는 스마트폰 사용자의 단말기 내 연락처, 신분증, 성명 등 개인정보를 유출할 수 있다”고 밝혔다. 이 ‘xx신기’ 바이러스는 스마트폰 사용자의 친구(지인)에게 바이러스 다운로드 링크가 담긴 메시지를 보내 중국에서 짧은 기간에 754만 대의 이동전화기를 감염시켰다. 또 2시간 만에 전국 각 성과 도시에 퍼지는 등 지난해 중국에서 스마트폰 보안에 심각한 영향을 끼친 바이러스 가운데 하나로 꼽혔다.

‘모임 함정’ 바이러스, 9시간 만에 스마트폰 50만대 감염

중국에서는 지난해 ‘XX신기’ 바이러스에 이어 스마트폰 사용자의 지인 관계사슬을 통해 전파되는 ‘모임 함정’으로 불린 새로운 이동전화 바이러스가 나타났다.

이 ‘모임 함정’ 바이러스는 스마트폰 내 연락처 정보를 빼낼 수 있고, 메시지 발송 권한을 확보한다. 또한 “우리 지난 번 회식 사진에 당신이 아는 사람이 있다. 사진 주소는 XXX 이다”라는 내용의 메시지를 연락처 내 사람들의 이동전화 번호로 보낸다.

수신자가 메시지 안의 웹주소 링크를 클릭하면, ‘모임 앨범’이란 바이러스가 든 앱이 스마트폰에 설치된다. 이 ‘모임 함정’ 바이러스는 ‘친한 친구가 추천한’ 지인을 통해 퍼지는 수법을 쓰는 등 ‘링크식 전파’를 진행했다고 정보보안업체들은 설명했다. 메시지 수신자가 이 링크를 클릭해 열게 되면, 트로이목마가 스마트폰에 삽입되는 것.

이 바이러스는 이동전화 메시지를 차단할 뿐 아니라, 메시지를 특정 이동전화 번호로 전달한다. 이 때문에 사용자가 발송한 메시지 안에 들어 있는 인터넷 사이트나 인터넷뱅킹의 계정과 비밀번호들이 유출될 수 있다. 이로써 사용자는 금전 손실 피해까지 입을 수 있다. 이 ‘모임 함정’ 바이러스는 지난해 중국에서 단 9시간 동안 500여만 회에 걸쳐 전파됐으며, 50만 대의 스마트폰이 감염된 것으로 밝혀졌다.

‘나는 바이러스 아니다’란 이름 내건 이동전화 악성 SW

중국 360인터넷보안센터는 지난해 7월 3일 ‘메시지 도둑’으로 불린 트로이목마를 찾아 퇴치했다. 이 트로이목마는 자신의 파일명을 ‘정상적인 시스템 SW를 위해 취소를 클릭하세요. 삭제를 하면 이동전화기 마비를 일으킬 수 있으니 삭제하지 마세요’로 지었다. 이를 통해 이동전화 보안 S/W의 탐지·퇴치 때 단말기 사용자를 속였다.

360인터넷보안센터는 “일반적으로 이동전화 악성 SW는 하나의 파일 명칭이 있고, 보안 SW로 바이러스를 탐지해 퇴치했을 때 이동전화기 사용자에게 ‘무슨 명칭의 이동전화 악성 SW를 탐지해 퇴치했다’고 밝힌다”며 “하지만 이번 ‘메시지 도둑’으로 불린 트로이목마는 파일명이 긴데다 미혹성도 크다”고 설명했다.

이 악성 SW는 몰래 메시지를 발송하고 자신의 아이콘을 숨긴다. 또 백그라운드에서 메시지 명령을 받아 외부로 발송되는 특정 메시지를 통제한다. 이로써 사용자 개인 관련 정보들이 유출되고, 금전 손실까지 발생할 수 있다.

[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>