악성코드 조심하세요. 어도비 플래시 업데이트 위장

모바일 기반 금전 탈취 악성코드 ‘비상’

포티넷 보고서 “어도비 플래시·안티 바이러스 SW 위장 모바일 악성앱 주의”

2013년 02월 19일 (화) 20:02:11 김선애 기자 iyamm@datanet.co.kr

정상적인 모바일 애플리케이션으로 위장해 금전을 탈취하는 악성코드가 극성을 부리고 있는 가운데, 올해에는 어도비 플래시 업데이트와 안티바이러스 소프트웨어, 인터넷 뱅킹으로 위장한 악성코드에 의한 피해가 높을 것이라는 전망이 나왔다.

포티넷의 포티가드랩이 발표한 ‘2012년 4분기 보안위협 보고서’에 따르면, 금전탈취를 목적으로 제작된 악성코드 샘플은 크게 4가지 종류로 나뉜다. 이 악성코드는 하루에서 일주일 정도 짧은 기간동안 활동하고 있어 피해를 미리 막기가 어렵다.

어도비 플래시 업데이트로 위장한 악성코드 Simda.B는 모든 설치 약관에 동의하도록 유도하며, 설치되고 나면 사용자의 비밀번호를 탈취해 사용자 이메일이나 소셜 네트워킹 프로그램에 로그인한다. 그 후 스팸이나 악성코드를 자동으로 유포하면서 사용자 정보를 알아내 악성 웹 사이트를 운영하고, 온라인 지불 시스템을 통해 자동으로 사용자의 돈을 훔쳐간다.

안티바이러스 프로그램인 것 처럼 속이는 FakeAlert.D는 시스템 트레이에서 팝업창을 통해 컴퓨터가 바이러스에 감염됐다는 경고를 띄운다. 바이러스 제거를 위해서는 일정 금액을 지불하여야 한다는 메시지를 통해 지불을 유도한다.

랜섬웨어의 일종인 Ransom.BE78은 설치 후 장치의 부팅을 막거나 데이터를 암호화해 사용자가 데이터에 접근하지 못하도록 한다. 이 악성코드는 사용자 동의 없이 몰래 잠입해 자동으로 설치되며, 이를 제거하기 위해서는 비용을 지불해야 하기 때문에 피해가 더 커지고 있다.

Zbot.ANQ는 악명높은 금전탈취 악성코드 ‘제우스(Zeus)’의 클라이언트 역할을 하는 봇넷 트로이목마 악성코드다. 설치 후 사용자가 온라인뱅킹 사이트에 접속시 입력하는 정보를 탈취해 소셜 엔진을 통해 사용자 스마트폰에 악성코드 프로그램을 설치하도록 유도한다. 사용자 스마트폰에 악성코드가 설치되고 나면 은행 인증번호 문자 등을 탈취해 이를 통해 사용자 통장에서 대포통장으로 돈을 송금한다.

안드로이드 기반의 변종 애드웨어 출현
안드로이드 기반의 변종 모바일 애드웨어에 의한 피해도 점차 심각해지고 있다. 포티넷은 안드로이드 플랭크톤(Android/Plankton)의 변종이 나타나고 있다고 경고했다.

플랭크톤은 작년 3분기 악명을 떨쳤는데, 사용자의 안드로이드 단말기에 침입해 상태창에 원하지 않는 광고를 지속적으로 노출하거나 국제 모바일 기기 식별코드(IMEI) 번호를 통해 사용자를 추적한다. 때로 데스크톱의 아이콘을 삭제시키기도 한다.

4분기에는 플랭크톤의 활동량이 줄어든 대신, 더 발전된 새로운 애드웨어 툴이 출현하면서 다양한 변종 공격이 나타나고 있다.

더불어 정치·사회적인 목적으로 사이버 테러를 단행하는 핵티비스트들의 스캐닝 활동도 크게 늘고 있어 올해 대규모 사이버 테러가 발생할 우려가 높아진다고 포티넷은 경고했다.