| [中 상반기 정보보안 ⑧] 정보 절취류 바이러스 앱 숨은 메시지 사례 | 2015.09.11 | ||||
“메시지 내 웹링크 클릭하면 바이러스 앱 설치...정보 유출” [보안뉴스 온기홍=중국 베이징] 중국에서는 올해 들어 친구·지인·교사 등을 사칭한 이동전화 메시지로 수신자를 속이고 웹주소 링크를 클릭하게 한 뒤 바이러스 애플리케이션(앱)을 설치해 스마트폰 내 정보들을 빼내는 사례들이 잇따른 것으로 나타났다. 중국 텐센트(Tencent)의 ‘모바일 보안 랩’은 상반기 동안 자체 이동전화 보안 S/W를 써서 탐지한 내용과 사용자들의 신고를 종합해 스마트폰 사용자들을 겨냥한 사기성 메시지 관련 사례들을 최근 공개했다. 사진 앨범 트로이목마 창궐, 사기성 메시지와 바이러스 앱 결합 사기 잇달아 중국에서 지난 상반기 ‘사진 앨범’이란 이름이 따라 붙는 바이러스들이 폭발적으로 늘었다고 텅쉰의 모바일 보안 랩은 밝혔다. 이 같은 유형의 바이러스는 해커와 사기꾼들이 올해 매우 빈번하게 사용한 새로운 바이러스 공격 방식이다. 즉 자극성 강한 메시지를 미끼로 사용자를 꾀어 메시지 내 링크를 클릭하고 피싱 웹주소에 들어가게 한다. 이어 사용자의 계정과 비밀번호를 훔치고 바이러스 앱을 심는 수법으로 사용자의 스마트폰을 감염시킨다. 수신자가 이들 메시지 내 웹링크를 클릭하면, 막대한 자금 손실도 입게 된다. 은행 고객서비스 사칭, 포인트 현금교환으로 유혹해 트로이목마 투입 해커나 사기꾼들은 은행 고객서비스 부문으로도 위장한 이동전화 메시지로 수신자의 정보를 빼내고 사기를 저지르기도 했다. 이들은 ‘95588’나 ‘95533’ 따위의 대표번호로 불특정 다수에 이동전화 메시지를 대량 발송하고, ‘적립 포인트를 현금으로 바꿔준다’거나 ‘전자 패스워드기 유효기간이 만료 됐다’는 내용 따위로 수신자를 꾀어 트로이목마가 숨은 웹주소를 클릭하게 만든다. 지난 상반기 대표적인 관련 메시지 내용을 보면, “중국건설은행에서 알리는 희소식입니다. 고객이 쓰고 있는 건설은행 계좌의 포인트가 1만점이 차서 5%의 현금으로 바꿀 수 있습니다. 이동전화 사이트 XXXXX 에 로그인해 현금으로 바꾸십시오. 기간을 넘기면 효력을 잃게 됩니다. - 건설은행” 등으로 돼 있다. 사기성 메시지가 제공하는 웹링크 주소 대다수는 은행의 공식 홈페이지를 모방한 피싱 웹주소다. 웹주소에는 ICBC, CCB 등 중국 대형 은행 약칭 또는 95588·95533 같은 은행 고객서비스 대표 전화들이 들어 있다. 사용자가 이런 내용을 믿고 진행 순서에 따라 은행 계정과 비밀번호를 입력해 포인트를 현금으로 바꾸게 될 경우, 범죄자는 은행 계정과 비밀번호를 훔쳐 온라인 뱅킹에 로그인해서 계좌 내 자금을 이체해 써 버리는 것으로 드러났다. 동창·친구 사칭, 모임 사진 메시지 링크에 바이러스 숨겨 학교 동창, 친구, 직장 동료를 사칭하고 모임 사진이라고 속인 메시지를 통해 수신자를 꾀어 클릭하게 만드는 방식으로 스마트폰에 트로이목마를 심는 수법도 적발됐다. 해커나 사기꾼이 보내는 이런 메시지는 대부분 ‘동창회 모임 사진을 정리했다’, ‘졸업 기념 식사 사진이다’ 따위의 내용으로 수신자를 꾀어 바이러스가 담긴 웹주소를 클릭하게 만든다. 텐센트 측은 “해커는 그 전에 이미 불법 경로를 통해 메시지를 수신하는 스마트폰 사용자의 정보를 손에 넣었기 때문에 해당 수신자의 실명을 부른다”며 “그 만큼 사기성과 미혹성이 매우 강하다”고 지적했다. 해커가 투입하는 전형적인 바이러스는 ‘포인트 함정’이란 이름으로 불리는 바이러스 a.privacy.emial.d.다. 이 바이러스는 스마트폰 메시지를 차단하고, 또 이를 지정된 전화번호로 보낸다. 이로 인해 (금전) 결제 계정과 비밀번호가 유출 위험에 놓이게 한다.
교사 사칭, 학부모에게 자녀 성적표 조회 유도한 뒤 바이러스 투입 상반기에는 학교 교사를 사칭해 학부모에게 자녀 학습성적 등을 조회할 수 있다고 속이는 메시지에 트로이목마를 심고 정보를 빼내는 수법도 드러났다. 해커나 사기꾼은 학교 교사를 사칭하고 사기성 메시지를 통해 학부모에게 자녀의 성적과 평소 행동 태도를 조회할 수 있는 웹주소 링크를 제공한다고 거짓말을 한다. 이렇게 해서 메시지 수신자를 꾀어 바이러스가 숨은 웹주소를 클릭해 내려 받게 한다. 이들 메시지는 주로 “OO 학부모님, 신학기 자녀의 성적 향상을 위해 이전 학기 여러 항목의 행동 태도 XXXX를 내려 받아 조회하세요”라는 내용을 담고 있다. 이런 사기성 메시지에 심겨진 전형적인 ‘사진 앨범’ 트로이목마 바이러스는 ‘a.remote.ananly.c’과 ‘가장(학부모) 함정’란 이름의 바이러스 ‘a.privacy.articles.f.’다. 이 가운데 바이러스 ‘a.remote.ananly.c’는 정상적인 바이러스로 위장해 단말기에 설치된 다음, 사용자가 장치관리자를 활성화하도록 유도하고, 몰래 메시지를 특정 전화번호로 보낸다. 또 해커 등으로부터 원격 명령을 받고, 메시지를 차단한다. 이로써 사용자에게 중요하고 민감한 정보들이 유출되는 피해를 안긴다.
▲중국 스마트폰에서 학부모를 대상으로 자녀의 시험 성적과 행동 자료 등을 조회할 수 있다
세 번째 단계로 이 ‘가장 함정’ 바이러스는 스마트폰에 설치된 뒤에도 바탕화면에 어떠한 아이콘도 나타내지 않고 숨긴다. 또 사용자가 장치관리자를 활성화하도록 유도하며, 학부모 스마트폰 안의 메시지와 연락처, 사진 같은 여러 정보를 입수하고, 이들을 특정 서버로 올린다. 첩·애인 사칭해 메시지 내 웹링크 클릭하도록 유인한 뒤 트로이목마 투입 중국에서는 상반기에 첩이나 애인을 사칭해 스마트폰 사용자를 유혹해 메시지 내 웹링크를 클릭하게 하는 방식으로 바이러스를 투입하는 사례도 잇달았다. 전형적인 메시지 내용은 ‘OOO, 나는 당신 남편의 여자 친구다. 당신 남편을 사랑하게 됐다. 그와 결혼할 거다. 여기에 나와 그가 함께 찍은 사진이 있다. 믿지 못하겠으면 당신이 직접 가서 봐라. 주소는 XXXXX’ 이다. 텐센트의 모바일 보안 랩이 분석한 결과, 첩이나 애인을 사칭한 범죄자는 불법 경로로 스마트폰 소유자의 정보를 손에 넣은 뒤 스마트폰 소유자의 남편 또는 아내와 ‘진심으로 사랑하고 있다’며 사진을 증거로 내세우면서 메시지 수신자를 꾀어 트로이목마가 숨은 웹주소를 클릭하게 만든다. 텐센트 측은 “이처럼 충격성과 유혹성을 가진 메시지는 종종 이동전화기 사용자들이 참지 못하고 클릭해 보게 만든다”며 “웹주소 링크를 클릭한 뒤엔 자동으로 트로이목마 바이러스를 가진 웹주소로 건너 뛰어 바이러스 앱을 내려 받게 된다”고 지적했다. 이와 관련한 대표적인 바이러스로는 ‘a.privacy.ffoo.f’가 꼽혔다. 이 바이러스는 메시지를 감시하면서, 특정 메시지를 해커 쪽에 전달한다. 이로써 스마트폰 사용자의 계좌 내 자금도 유출될 위험에 놓이게 만든다. 교통법규 위반 통지 수법으로 트로이목마 투입 또한 중국에서는 상반기에 교통법규 위반 내용을 통지하는 메시지를 통해 스마트폰에 트로이목마를 투입하는 수법도 나타났다. 이런 사기성 메시지는 교통 법규 위반 내용을 알리면서 위법 사진이 있는 웹주소 링크를 제공해, 수신자가 트로이목마가 숨은 웹주소를 클릭하도록 유혹한다. 텐센트의 모바일 보안 랩은 “사진 앨범 관련 바이러스는 미혹성이 강한 메시지를 통해 퍼지는데, 그 수법의 핵심은 이동전화기 사용자를 꾀어 트로이목마가 숨은 웹링크를 클릭하게 해서 바이러스 앱을 단말기에 설치하게 한 뒤 사용자의 중요한 정보들을 훔치는 것”이라고 설명했다. [중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||||
 |
