Zitmo 변형으로 알려진 안드로이드 악성코드 발견!

서드 파티 앱스토어(3rd Party Appstore) 통해 유포

[보안뉴스 김태형] 지난 19일 러시아 보안업체 카스퍼스키(Kaspersky)에서 블로그 ‘Android Security Suite Premium = New ZitMo’를 통해 새로운 Zitmo 변형이 발견되었음을 공개했다고 안랩 시큐리티센터(ASEC) 측은 밝혔다.

이와 관련 안랩 시큐리티센터에서는 이에 대한 추가 조사를 통해 해당 새로운 Zitmo 변형은 구글(Google)의 공식 안드로이드 앱스토어(Appstore)를 통해 유포된 것이 아니라 인터넷에 존재하는 서드 파티 앱스토어(3rd Party Appstore)를 통해 유포된 것을 파악했다고 설명했다.

안랩 시큐리티센터에서는 ‘2012 예상 스마트폰 보안 위협 트렌드’를 발표하며 윈도우 PC에서 감염 및 동작하는 제우스(Zeus) 악성코드의 모바일 버전인 Zitmo(Zeus In The Mobile)가 발견EHOt으며 심비안(Symbian), 블랙베리(Blackberry)를 거쳐 최근엔 안드로이드(Android) 플랫폼으로까지 확장되었다고 언급한 바 있다.

이번에 발견된 새로운 Zitmo 변형은 안드로이드 모바일 운영체제에서 감염 및 동작하도록 되어 있으며 안드로이드 운영체제에 설치되면 아래 이미지와 같이 허위 보안 소프트웨어로 위장하고 있다.

안드로이드에 감염되는 허위 보안 소프트웨어는 이번에 처음 발견된 것이 아니며 2012년 5월 해외 보 업체 아이콘으로 위장한 형태가 발견된 사례가 있다.

그리고 해당 안드로이드 악성코드는 설치 시에 아래 이미지와 같이 감염된 안드로이드 모바일 기기에서 송수신하는 SMS 메시지 접근 권한과 SMS 발송 권한 등이 사용됨을 보여주고 있다.

해당 Zitmo 안드로이드 악성코드가 실행되면 일반적인 허위 보안 소프트웨어에서 사용했던 기법과 동일하게 인증 등록 번호를 입력하도록 요구한다.

그러나 해당 안드로이드 악성코드는 감염된 안드로이드 모바일 기기에서 휴대폰 번호, SubscriberId, DeviceId, 모델명, 제작사, OS 버전, SMS 메시지 정보들을 수집하여 특정 C&C 서버로 전송하게 된다.

이번에 발견된 새로운 Zitmo 변형들은 V3 모바일 제품군에서 다음과 같이 진단한다.

Android-Trojan/Zitmo

Android-Trojan/Zitmo.B

Android-Trojan/Zitmo.C

Android-Trojan/Zitmo.D

안랩 시큐리티센터는 안드로이드 모바일 기기 사용자들은 웹사이트 등을 통해 안드로이드 앱들을 다운로드 받아 설치하는 것보다 신뢰할 수 있는 통신사 또는 제조사가 제공하는 앱스토어를 이용해 다운로드 및 설치하는 것이 중요하다고 강조했다.

그리고 안드로이드 모바일 기기에서도 신뢰할 수 있는 보안업체가 개발한 보안제품을 설치하여 주기적으로 검사하는 것이 필요하다고 덧붙였다.

[김태형 기자(boan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)