통화 내용 녹음, 정보 유출 등 수행하는 악성코드 다수 발견
V3 모바일 등의 진단명은 Adrd.E, Adrd.F, Adrd.G, Adrd.H (Android-Spyware/Adrd.E, F, G, H)이며, 아직 국내에서 피해 신고는 없지만 변종이 계속 추가 발견될 가능성이 높아 유의가 필요하다.
이 악성코드는 정상 애플리케이션인 '스티미 윈도우(Steamy Windows)'를 변조한 것으로 구글이 운영하는 공식 안드로이드 마켓이 아니라 '써드 파티 마켓'(Third-party market; 제 3자가 운영하는 마켓)에서 발견됐다.
악성코드를 실행하면 스마트폰 화면에 김이 서리게 하는 정상 앱의 기능이 그대로 수행된다. 그러나 뒤에서는 사용자 모르게 음성 녹음을 하거나, 특정 C&C 서버로 접속해 공격자의 명령을 받아서 수행한다. 또한 SMS를 발송하거나, SMS 수신 내역을 숨기거나 다른 앱을 설치하기도 하며, 전화번호, IMEI(International Mobile Equipement Identity; 국제 이동 단말기 식별 번호), IMSI(International Mobile Station Identity; 국제 이동국 식별 번호), SIM 카드 정보를 외부로 유출한다. 이 밖에 인터넷 북마크 목록을 읽고 추가할 수도 있고, 외부 메모리(SD 카드)에 접근해 데이터를 쓸 수도 있다.
이에 따라 안철수연구소는 V3 모바일(V3 Mobile)과 V3 모바일 플러스(V3 Mobile+ for Transaction)에 진단/치료 기능을 긴급 업데이트했다. V3 Moblie은 삼성전자와 LG전자, 모토로라, 팬택 안드로이드 기반 스마트폰에 공급돼 있으며, V3 모바일 플러스는 KB국민은행, 신한은행, SK증권, 대신증권, 삼성화재 등 금융권 50여 곳에 공급돼 있다.
안철수연구소 시큐리티대응센터 이호웅 센터장은 "스마트폰 악성코드가 조금씩 늘어나는 추세이다. 사용자는 공식 마켓이 아닌 블랙 마켓 등에서 애플리케이션을 설치하는 것을 자제하고, 스마트폰 전용 보안 소프트웨어를 설치해 최신 버전으로 유지해야 한다"고 당부했다.
김정은 기자
jekim92@itdaily.kr