스마트폰을 통해 사용자들의 통화내용, 문자메시지, 음성녹음을 통한 도감청 기능까지 갖춘 '스파이앱'을 유포한 해커들이 국내 사용자들을 대상으로 악성 문자메시지를 무차별적으로 유포하고 있는 것으로 나타났다.
27일 보안업계관계자들에 따르면 중국 도메인에서 스파이앱 관련 악성 안드로이드 애플리케이션(앱)을 유포했던 해커들은 국내 스마트폰 사용자들을 상대로 문자메시지를 배포하는 중이다. 문자에 포함된 단축URL을 누르면 해당 스마트폰을 악성코드에 감염시키는 전형적인 수법을 사용했다. 소액결제사기는 물론 기존 스파이앱 기능이 실제로 무차별적으로 구현될 수 있다는 점에서 주의가 필요한 상황이다.
잉카인터넷이 블로그를 통해 공개한 내용에 따르면 지난 2월 중순부터 중국의 특정 도메인에서 'hgz.apk'이라는 이름의 악성파일이 국내에 다수 전파됐으며, 변종도 확인되고 있다.
발견된 악성문자는 보안서비스 휴대폰 안전을 위해 안전 설치 바로가기 www.*****.com/hgz.apk, 이벤트☆야동 7일 무료 www.*****.com/hgz.apk,고객님 계좌번호비밀번호 변경완료되었습니다 www.*****.com/hgz.apk[**], 고객님![**카드]자동이체일은 25일입니다. 통장잔액확인www.*****.com/hgz.apk, [**은행] 자동이체통장 확인해주세요 잔액이부족합니다 (-480,000) www.*****.com/hgz.apk 등의 문구를 담고 있다.
단축URL에 첨부된 파일을 설치하면 스마트폰에 'Andorid SMS Core'라는 이름의 아이콘이 생성된다. 이 악성앱은 스마트폰을 재부팅할 때 'SmsService'라는 프로그램을 실행한다. 이는 사용자가 수신한 문자 내용을 감시해 해커에게 전송한다.
관련기사
- '온라인게이머 재산' 노린 악성코드 연 7천건2013.02.27
- 스타벅스 무료쿠폰 위장 악성코드 주의 필요2013.02.27
- 글로벌 금전탈취수법, 악성코드 4종 활개2013.02.27
- 스마트폰 소액결제사기 돈 되자 '너도나도'2013.02.27
해커는 감시 대상 스마트폰의 발신번호가 +86(중국), +82(한국)인지를 확인해 국가번호를 제외한 번호를 저장한다. 그 뒤 발신번호의 시작이 '01'이 아닐 경우에만 '01333662220'이라는 번호로 사용자가 문자를 보낸 발신번호와 문자 본문 내용을 유출시킨다.
또한 악성앱이 본격적으로 실행되면 '安装是否成功(안장시부성공-설치에 성공했습니까?) 라는 한자 내용을 '18889918537'이라는 전화번호에 문자를 발송한다. 공격자가 대상의 감염여부를 확인하기 위한 용도인 것으로 보인다.
