[아이티비즈] 트렌드마이크로는 2015년 3월 최근 이슈가 되고 있는 화상채팅을 하며 찍은 음란 영상을 유포하겠다고 협박해 돈을 뜯는 이른바 '몸캠 피싱'에 사용된 모바일 악성코드에 관한 보고서를 발표했다. 이번 조사보고서는 신종 수법의 모바일 악성코드에 대한 분석과 이를 제작 및 유포한 해커 조직들에 대해 소개했다.

여러 범행을 심층 조사한 결과 공격자는 중국어와 한국어를 이용하여 악성앱과 사이트를 제작하는 개발자들이 중국에 거주하고 있음을 알게 되었고, 악성앱의 소스 코드에서 발견한 QQ번호를 통해 “빛나게 살자(또는 스파클링 라이프)”라고 알려진 조선족이 운영하는 QQ Zone(MySpace와 유사한 블로그)을 찾아냈다. 실제 “빛나게 살자”는 연변에 거주하고 있으며, 포럼 게시물에서 조선족 사투리를 사용한 것으로 밝혀졌다

여기에 사용된 악성코드들을 분석한 결과, 범죄자들은 4가지의 안드로이드 데이터 스틸러 패밀리를 사용하는 것으로 확인되었고, 각 멀웨어 패밀리들의 주요 기능들을 살펴보면 아래와 같다.

① 감염된 기기의 저장된 연락처 정보, 온라인계정 ID 등의 데이터를 수집하여 범죄자의 서버로 전송
② 감염된 기기의 문자 메시지를 가로채거나 문자나 전화 수신을 막는 등의 행위
③ 감염된 기기의 번호를 범죄자에게 전송하고 피해자의 문자메시지를 드롭존으로 업로드하고 SMS를 통한 명령 실행
④ 감염된 기기에서 온라인 계정 ID와 연락처 정보를 검색하고 SMTP를 이용하여 훔친 데이터를 전자메일로 전송, 문자메시지 가로채기, 그리고 훔친 데이터를 전자메일 대신 HTTP POST를 통해 전송

각각의 악성코드들은 도용한 데이터를 수신하는 드롭존으로 다양한 국가의 IP, 휴대전화번호, 전자메일 주소를 사용하였고 범죄자들은 범행 별로 하나의 고유한 드롭존을 사용한 것으로 분석됐다.

트렌드마이크로는 이번 조사 결과를 한국인터넷진흥원과 국내 관계 기관에 제공하여 피해 확신 방지를 위해 협력하고 있다고 밝혔다. 또한 개인 안드로이드 스마트폰 사용자들은 이러한 범죄에 노출이 되지 않기 위해서는 모바일 기기상에서 무분별한 다운로드나 링크를 클릭하지 않도록 주의하고 최신의 모바일 안티바이러스 프로그램을 설치하여 스마트폰을 모니터링 할 것이 필요하다고 언급했다.