SMS 유출하는 ZitMo 안드로이드 악성코드 변형 발견!

안드로이드폰에 송수신되는 모든 SMS를 특정 휴대 전화로 전송

[보안뉴스 김태형] 금융 정보를 탈취를 목적으로 하는 악성코드들은 PC와 안드로이드(Android)까지 다양한 운영체제와 디바이스들을 대상으로 그 범위를 확장해가고 있다. 최근에는 안드로이드 모바일 운영체제를 대상으로 감염시킨 후 개인 금융 정보 탈취를 목적으로 하는 안드로이드 악성코드들이 지속적으로 발견되고 있다.

안랩 시큐리티대응센터(이하ASEC)에서는 6월에도 이러한 형태의 안드로이드 악성코드인 ZitMo(Zeus in the Mobile)라는 안드로이드 악성코드가 발견되었음을 공개한 바 있다.

2012년 6월 - Zitmo 변형으로 알려진 안드로이드 악성코드

현지 시각으로 2012년 8월 7일 해외 보안 업체인 카스퍼스키(Kaspersky)에서는 블로그 ‘New ZitMo for Android and Blackberry’를 통해 새로운 ZitMo 안드로이드 악성코드 변형이 발견되었음을 공개했다.

ASEC에서는 해당 새로운 ZitMo 안드로이드 악성코드 변형을 확보하여 자세한 분석을 진행했다. 이번에 발견된 ZitMo 안드로이드 악성코드 변형을 안드로이드 스마트폰에 설치하게 되면 아래 이미지와 같이 ‘SMS(Short Message Service) 송수신 권한’을 설치시 요구하게 된다.

그리고 설치가 완료되면 ‘Zertifikat’라는 명칭을 가지는 아이콘을 안드로이드 스마트폰에 생성하게 된다. 해당 ‘Zertifikat’는 독일어로 증명서 또는 인증서를 의미한다.

해당 ZitMo 안드로이드 악성코드를 실행하게 되면 독일어로 되어 있는 메시지가 나타나게 되며 이는 ‘설치 성공, 정품 인증 코드는 7725486193 입니다’를 의미한다.

설치가 완료되면 해당 ZitMo 안드로이드 악성코드는 안드로이드 스마트폰이 부팅하게 되면 자신의 아이콘을 숨기고 감염된 안드로이드 스마트폰으로 송수신되는 모든 SMS들을 특정 휴대전화 번호로 전송하게 된다.

이러한 동작 기법으로 미루어 해당 ZitMo 안드로이드 악성코드는 유럽 지역에서 스마트폰을 이용한 뱅킹(Banking) 서비스 이용시에 사용자 인증을 위해 스마트폰과 휴대전화로 뱅킹 인증 번호를 SMS로 전송한다는 점을 악용하여 감염된 안드로이드 폰에서 송수신한 뱅킹 인증 번호를 다른 휴대전화로 유출하는 것으로 분석된다.

이번에 발견된 ZitMo 안드로이드 악성코드는 V3 모바일 제품군에서 다음과 같이 진단한다.

Android-Trojan/Zitmo.M

안드로이드 모바일 기기 사용자들은 인터넷 웹 사이트 등을 통해 안드로이드 앱들을 다운로드 받아 설치하는 것보다 신뢰 할 수 있는 통신사 또는 제조사가 제공하는 앱스토어를 이용해 다운로드 및 설치하는 것이 중요하다.

그리고 안드로이드 모바일 기기에서도 신뢰할 수 있는 보안업체가 개발한 보안 제품을 설치해 주기적으로 검사하는 것이 필요하다.

[김태형 기자(boan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)