국내 안드로이드 스마트폰 이용자들을 직접 겨냥한 악성파일을 추가로 발견됐다. 이번에 발견된 KRSpammer 변종 악성파일은 스마트폰 요금 과다 청구 환급금 조회 내용처럼 사칭한 단축 URL주소로 위장하여 국내 특정 사용자들에게 배포된 바 있다. 특히 이번에는 파리바게뜨 앱으로 위장한 변종이 발견돼 사용자들의 주의가 더욱 요구된다.
 
잉카인터넷 대응팀 관계자는 “악성파일 제작자는 국내 이용자들의 소액결제 승인 문자메시지를 몰래 가로채기 하여 불법적으로 인터넷 결제를 시도하는 등의 사이버 범죄를 시도하고 있으며, 일부에서는 실제 피해도 발생하고 있는 것으로 알려진 상태”라며 “nProtect Mobile for Android 무료제품에 긴급 업데이트했으며 이용자들은 최신 버전으로 업데이트하여 전체 검사를 수행해 보는 것을 적극 권장한다”고 권고했다.
 
◇지속적인 변종 출현중!
각종 피싱 SMS를 이용하여 해당 악성 애플리케이션의 변종이 지속적으로 출현하고 있다. 이번에는 국내 제빵 업체로 위장한 피싱 SMS를 통해 유포 시도가 이루어졌으며, 수집된 정보의 유출 IP만이 기존의 악성 애플리케이션과 상이하다.

 
잉카인터넷 관계자에 따르면 KRSpammer 안드로이드 변종 악성파일은 “얼마전 발견되었던 안드로이드 악성파일(KRSpammer) 변종과 비슷한 방식으로 전파되었는데, 이번에는 [고객님! 요금과다청구 환급금조회 http://tinyurl.com/(일부생략) ☜클릭] 내용으로 사용자로부터 악성 URL 링크 클릭을 유도하고 있다”며 “현재 악성 링크가 정상적으로 작동되고 있다. 기존의 변종과 동일하게 Dropbox 서비스를 통해서 "SmartBilling.apk" 파일이 설치시도 되고 있다”고 경고했다.
 
안드로이드 스마트폰의 경우 APK 설치가 진행되며, 인터넷 익스플로러 브라우저에서는 다운로드가 시도된다.
 
현재까지 확인된 바에 의하면 악성파일은 2가지 변종 형태로 제작되었으며, 2012년 11월 24일과 11월 25일 경에 배포된 것으로 추정된다. 기존과 동일하게 "스마트청구서" 형태의 변종 1개와 새로운 이름의 "e-청구서" 형태가 확인된 상태이다.
 
또한, 악성파일 내부에는 동일하게 아이콘 리소스를 포함하고 있어 여러가지 형태로 변종 제작이 시도되고 있다는 것을 예측할 수 있다. 이번에는 "bkg_nok.png"와 "icon_sexy.png" 등이 추가되었다. 새롭게 발견된 변종은 각각 "스마트청구서"와 "e-청구서" 이름으로 제작 배포되었다.
 
설치 후 실행되면 가짜 에러화면을 동일하게 보여주며 사용자로 하여금 단순 서버 접속 장애로 보이도록 위장하지만, 이는 의도된 가짜 메시지로 이용자를 속이기 위한 과정이고, 이후 이용자의 SMS(MMS) 메시지를 감시하기 시작한다.
 
이번 Trojan/Android.KRSpammer.F 변종은 Trojan/Android.KRSpammer.D 변종에서 감시대상 발신번호가 일부 더 추가되었고, 정보 유출 IP주소 등이 변경되었다. 수집된 문자 정보 등은 특정 IP주소로 무단 유출 시도된다. 악성파일은 홍콩과 일본 등의 특정 호스트로 정보를 유출 시도한다.
 
잉카인터넷 관계자는 “대부분의 악성 애플리케이션은 사용자들이 육안상으로 악성 동작을 확인하기 어려우며, 손쉽게 유포하기 위해 제작자들은 정상적인 애플리케이션으로 위장하게 된다”며 “또한 내부에 특정 오류 출력 구문 등을 삽입하여 마치 정상적인 애플리케이션이 오동작을 일으킨것 처럼 위장하고 있는 경우도 있어 일반 사용자들은 이 부분에 쉽게 현혹될 수 있어 주의해야 한다”고 강조했다.  
 
데일리시큐 길민권 기자 mkgil@dailysecu.com