카스퍼스키 랩(www.kaspersky.co.kr)이 7일 발표한 ‘2012년 보안 위협 통계 분석 보고서’에 따르면, 새롭게 발견되는 모바일 악성 코드의 99%가 안드로이드용으로 나타났으며 자바나 심비안 플랫폼을 노리는 악성 코드는 극소수에 불과했다.
2011년에 이어 2012년에도 안드로이드 악성 코드가 폭발적으로 증가한 것으로 나타났다. 2011년 1월에 8개의 신종 안드로이드 악성 코드를 시작으로, 2011년에는 월 평균 800여 개의 샘플이 보고되었고, 2012년에는 전년보다 약 8배 증가한 월 평균 6,300개의 신종 모바일 악성 코드가 보고됐다.
안드로이드 악성 코드의 대부분은 기능에 따라 세 가지 그룹으로 나눌 수 있다.
‘SMS 트로이목마’ 그룹은 유료 과금 전화 번호로 SMS 메시지를 보내 사용자에게 요금을 청구하는 악성 코드이다.
‘백도어’ 그룹은 다른 악성 코드를 설치하거나 개인 정보를 훔치는 것이 가능하도록 스마트폰에 비인가된 접근 통로를 만든다.
‘스파이웨어’ 그룹은 주소록, 암호, 사진과 같은 개인 정보를 무단으로 수집한다.
카스퍼스키랩 모바일 보안팀에 의해 차단된 안드로이드 악성 코드의 톱10을 보면 ‘SMS 트로이목마’가 전체 악성 코드의 51%로 가장 널리 퍼져 있었고, 그 다음은 사용자에게 원치 않는 광고를 보여 주는 앱이었다. 널리 퍼진 것은 아니었지만 가장 위험한 것은 러시아에서 발견된 모바일 뱅킹 관련 정보를 탈취하는 악성 코드인 Carberp-in-the-Mobile이었다.
사이버 범죄 활동을 줄이기 위한 구글의 노력에도 불구하고 공식 마켓인 구글플레이를 통한 악성 코드는 증가하고 있는 것으로 나타났다. 또한 안드로이드 플랫폼은 구글플레이가 아닌 곳에서 받은 앱도 사용자가 자유롭게 설치할 수 있기 때문에 감염을 막을 수 있는 최선의 방법 중 하나는 의심스러운 웹사이트에서 배포하는 앱은 설치하지 않는 것이다.
국가별 모바일 악성 코드의 주목할만한 예는 다음과 같다.
미국: FakeRun beg-ware
미국을 비롯해 전 세계에서 유행한 페이크런 악성 코드(Trojan.AndroidOS.FakeRun.a)는 어떠한 악성 행위도 하지 않는 더미 앱으로, 단지 앱 제작자가 돈을 벌 수 있게 광고만 사용자에게 보여준다. 이 악성 코드는 앱을 다운로드 받은 사용자가 그 등급을 평가하기도 전에 사용자의 페이스북에 앱에 대한 정보를 공유하도록 한다.
독일: Plangton Trojan
독일 등 유럽에서 가장 유행했던 모바일 악성 코드는 Trojan.AndroidOS.Plangton.a 이다. 사용자가 확인할 수 있는 악성 코드 감염의 유일한 증거는 웹 브라우저의 즐겨찾기에 몇 가지 항목이 추가된 것과 가끔씩 나타나는 광고 정도이다.
감염 후 트로이목마는 해커의 명령 서버에 연결하고 사용자의 웹사이트 즐겨찾기를 수정할 뿐만 아니라 피싱 웹사이트로 사용자의 접근을 유도한다.
러시아:유료 과금 SMS 발송 트로이목마
러시아에서는 사용자에게 유료 과금을 유발하는 문자를 발송하는 SMS 트로이목마가 넘쳐났다. 그 예로 Trojan-SMS.AndroidOS.Opfake.bo는 인터페이스 스킨으로 위장해 배포되었지만, 실제로는 사용자 모르게 유료로 과금되는 콘텐츠에 SMS 문자를 보낸다.
