잉카인터넷(대표 주영흠 www.nprotect.com)은 시큐리티대응센터 대응팀을 통해 Bot 기능이 있는 안드로이드 기반 악성파일의 분석자료를 18일 공개했다.
 
최근 발견된 이 악성파일은 중국의 비공식 안드로이드 마켓을 통해 구글의 아이콘과 거의 흡사한 아이콘으로 위장해 유포됐으며, 설치 후 별도의 실행아이콘이 존재하지 않고 내부적으로 백그라운드 상태에서 동작하는 리시버와 서비스 기능을 수행한다. 이는 제작초기부터 악의적인 목적으로 만들어진 실제적인 악성 애플리케이션이라고 볼 수 있다.
 
해당 악성 애플리케이션의 설치 여부는 '환경설정-응용프로그램-응용프로그램 관리' 순으로 확인 가능하다.

 
이번 악성파일은 공격자의 지능화된 무선 명령 및 지시에 따라 다양한 정보유출 기능 등을 수행할 수 있는 이른바 좀비폰 역할이 가능한 종류로 한 단계 진화된 형태로 볼 수 있다.
 
해당 애플리케이션의 악성 기능은 다음과 같다.
1. 좀비 봇(Bot) 기능 수행 및 사용자 몰래 수신되는 SMS 감시
2. 단말기 등의 정보 수집 (IMEI, IMSI, 단말기 위치정보)
3. 사용자 몰래 SMS 발송 (요금 부과 피해 가능)
4. 통화내용 녹취 시도
5. 단말기 화면 저장 시도
6. 다국적 APN(Access Point Name) 체크
7. 특정 프로세스 종료(안드로이드 SDK 2.1 이하 버전에서만 정상적으로 동작)
8. 재부팅 시도(해당 악성 애플리케이션은 기본적으로 재부팅 후 완벽한 동작 가능)
 
특히 해당 악성파일은 한국의 이동통신사망(APN)을 체크 시도하는 기능이 있어 국내 사용자로 대상 범위를 확대하고자 하는 또 다른 시도가 아닌가 추정되고 있어, 잉카인터넷 시큐리티대응센터 대응팀은 관련 정보 수집을 계속 진행 중이다.
 
문종현 잉카인터넷 시큐리티대응센터 대응팀장은 “이와 같은 Bot 기능 기반의 악성 애플리케이션은 언제든지 악성파일 제작자에 의해 좀 더 다양한 악성 기능이 포함되어 제작 및 유포가 이루어질 수 있으며, 기능적인 측면으로 인해 일반 사용자의 경우 감염 여부에 대한 확인이 어렵다”며 “이러한 악성 애플리케이션으로부터 안전한 스마트폰 사용을 위해서는 스마트폰 보안 관리 수칙을 준수하는 등 사용자 스스로 관심과 주의가 무엇보다 중요하다”고 조언했다.
[데일리시큐=길민권 기자]