금전을 탈취해 가는 악성코드, Simda.B, FakeAlert.D,  Ransom.BE78,  Zbot.ANQ를 조심하세요.

포티넷 코리아(사장 최원식, www.fortinet.co.kr)가 운영하는 악성코드 연구소인 포티가드 랩(FortiGuard Labs)연구소는 지난 2012년 10월부터 12월까지 3개월간 진행한 4분기 보안 위협 보고서를 19일 발표하였다.

 이번 4분기 보고서에 따르면 금전 탈취를 목적으로 사이버범죄에 이용되는 네 가지 종류의 악성코드 샘플을 존재한다. 이와 더불어 안드로이드 기반의 애드웨어(Adware)인 Android/Plankton의 변종 애드웨어의 출현과 더불어 핵티비스트의 웹 서버 취약성 스캐닝 활동이 급증하였다고 보고했다.

 네 가지 악성코드 가운데 Simda.B은 마치 플래시 업데이트인 것처럼 사용자를 속여 모든 설치 약관에 동의하도록 유도하는 Simda.B 악성코드는 일단 설치되고 나면 사용자의 비밀번호를 탈취한다. 이를 통해 사용자 e메일이나 소셜 네트워킹 프로그램에 로그인하여 스팸이나 악성코드를 자동으로 유포하는 방법을 통해 확산된다. 여기서 탈취한 사용자 정보를 통해 악성 웹 사이트를 운영하고 온라인 지불 시스템을 통해 자동으로 사용자의 돈을 탈취한다.

 FakeAlert.D는 안티바이러스 프로그램인 것처럼 시스템 트레이에서 팝업창을 통해 컴퓨터가 바이러스에 감염되었다는 경고를 띄운다. 바이러스 제거를 위해서는 일정 금액을 지불하여야 한다는 메시지를 통해 지불을 유도한다.

Ransom.BE78는 일종의 랜섬웨어로 일단 설치가 되면 사용자는 자신의 데이터에 접근을 할 수 없게 된다.  사용자의 장치의 부팅을 못하게 만들거나 데이터를 암호화하는 방법으로 사용자 접근을 차단하여 일정 금액을 지불하면 해독용 프로그램을 주는 조건으로 금품을 요구하는 악성코드다. 랜섬웨어는 사용자 동의 없이 몰래 잠입하여 자동으로 설치되고 제거를 위해서는 비용을 지불해야 한다.

 Zbot.ANQ는 악명 높은 Zeus 툴의 클라이언트 역할을 하는 봇넷 트로이목마 악성코드이다. 일단 설치가 되면 사용자가 온라인뱅킹 사이트에 접속시 입력하는 정보를 탈취한다. 이후 각종 소셜 엔진을 통해 사용자 스마트폰에 악성코드 프로그램을 설치하도록 유도한다. 사용자 스마트폰에 악성코드가 설치되고 나면 은행 인증번호 문자 등을 탈취하여 이를 통해 사용자 통장에서 대포통장으로 돈을 송금한다.

포티넷 코리아의 최원식 사장은 "금전 탈취를 위한 악성코드의 방법이 매년 진화하고 있고 최근 사이버범죄는 단기간에 수익을 내기 위해 더욱 개방적으로 접근하고 돈을 요구하는 방식 또한 매우 노골적으로 변모하였다"며 "컴퓨터에 적절한 보안 솔루션을 설치하고 사용중인 소프트웨어를 지속적으로 최근 버전이나 패치를 통해 업데이트를 진행하며 꾸준히 바이러스 검사를 실시해야 한다"고 덧붙였다.

■ 안드로이드 기반의 변종 애드웨어 출현

포티넷은 지난 3분기 보안 위협 보고서에서도 안드로이드에서 활동하는 모바일 애드웨어(Adware)인 Android/Plankton이 빠르게 확산되고 있다고 밝혔다.  Plankton은 사용자의 안드로이드 단말기에 침입하여 해당 모바일기기 상태창에 원하지 않는 광고를 지속적으로 노출하거나 IMEI(International Mobile Equipment Identity / 국제 모바일 기기 식별코드) 번호를 통해 사용자를 추적하기도 하며 데스크탑 상의 아이콘을 삭제시키는 증상을 유발하는 악성 애드웨어다.

 최원식 사장은 "안드로이드 사용자를 공격하는 애드웨어의 활동이 급증하고 있으므로 안드로이드 기반의 기기를 사용하는 사용자는 애플리케이션을 설치할 때 특히 주의해야 한다"라고 말했다.

포티넷은 안드로이드 악성 코드가 설치되는 것을 방지할 수 있는 가장 좋은 대비책으로 애플리케이션 설치 시 설치 동의약관을 꼼꼼하게 읽어볼 것을 권고한다. 높은 평점이나 리뷰가 많고, 다운로드 횟수가 많은 애플리케이션만 설치하는 것도 좋은 대비책이라고 한다.