모바일 바이러스

3. 유형

모바일 기기에 영향을 미치는 악성 소프트웨어는 다양한 유형으로 나눌 수 있다. 이러한 악성 프로그램들은 각기 다른 방식으로 전파되고, 서로 다른 목적을 가지며, 모바일 기기와 사용자에게 다양한 형태의 피해를 입힌다.

3. 1. 웜 (Worm)

3. 2. 트로이 목마 (Trojan Horse)

• 2011년: 대한민국에서 스마트폰 통화 내용을 녹음하는 트로이 목마형 바이러스가 발견되어 보안 업체 아이랩에 의해 공표되었다.^[38] 비슷한 시기 미국에서도 유사한 바이러스가 발견되었으나, 코드 오류로 인해 실제 피해는 크지 않았던 것으로 보고되었다.^[39][40] 보안 기업 시만텍 역시 녹음 기능을 가진 'Android.Nickispy'라는 트로이 목마를 보고했으며, 이는 ZDNet을 통해 보도되었다.^[41] 하지만 이 바이러스는 대부분 실행 중 오류를 일으키거나 작동을 위해 스마트폰에 직접적인 물리적 접근이 필요해 실질적인 위협 수준은 낮다고 평가되었다.
• 2012년: 운영 체제 업데이트로 이전의 취약점은 해결되었으나, 다른 취약점을 이용하는 'TigerBot'이라는 새로운 트로이 목마가 발견되어 통화 도청이 가능하다는 보도가 있었다.^[42]
• 2014년: 조선민주주의인민공화국의 사이버 부대가 4개월 동안 2만 대 이상의 스마트폰을 해킹했다는 대한민국 정부의 발표가 있었다.^[45] 같은 해 10월에는 홍콩의 2014년 홍콩 시위 참가자들을 표적으로 한 고도의 트로이 목마('Android.SpyHK.1.origin' 등)가 유포되었다.^[45] 이 바이러스는 GPS 정보를 추적하고, 단말기 내 파일에 접근하며, 연락처 정보를 수집하고, 심지어 녹음 기능을 원격으로 켜서 훔친 정보를 지정된 서버로 전송할 수 있었다. 배후는 명확히 밝혀지지 않았으나, 중국 정부의 개입 가능성을 시사하는 보도도 있었다.^[46]
• 2015년: 중화인민공화국에서는 스마트폰의 전원 끄기 화면을 위조하는 멀웨어가 발견되었다.^[43][44] 사용자가 전원 버튼을 눌러 기기를 끄려고 하면, 가짜 종료 화면을 보여주고 실제로는 꺼지지 않은 상태에서 외부의 명령을 받아 전화를 걸거나 사진을 촬영할 수 있었다. 기술적으로는 마이크를 켜서 대화를 도청하는 것도 가능하다고 분석되었다.

3. 3. 스파이웨어 (Spyware)

3. 4. 기타 유형

• '''익스팬더''': 모바일 기기의 과금 시스템을 표적으로 삼아 부당한 통신 요금을 발생시켜 이윤을 얻는 유형이다.
• '''웜''': 스스로를 계속 복제하며 다른 장치로 퍼져나가는 것을 주 목적으로 하는 독립 실행형 악성 코드이다. 유해하거나 잘못된 지침을 포함하기도 한다. 모바일 웜은 주로 SMS 또는 MMS를 통해 전송되며, 사용자의 상호작용 없이 실행되는 경우가 일반적이다.^[12]
• '''트로이 목마''': 웜과 달리 사용자가 직접 실행해야 활성화되는 악성 코드이다. 대개 흥미를 유발하거나 악성으로 보이지 않는 실행 파일 또는 애플리케이션 내부에 숨어 있다가, 사용자가 이를 기기로 내려받아 실행하면 활성화된다. 활성화된 트로이 목마는 다른 앱이나 기기 자체를 감염시켜 비활성화하거나 심각한 손상을 줄 수 있으며, 일정 시간이 지나거나 특정 횟수만큼 작동한 후 기기를 마비시키기도 한다. 또한, 달력, 이메일 계정, 메모 등 기기 내 정보와 동기화하여 데이터를 탈취(스파이웨어)하고 이를 원격 서버로 전송하기도 한다. 카메라를 해킹하는 캠펙팅 문제 역시 트로이 목마와 같은 바이러스 및 악성 코드의 증가와 더불어 상당히 흔해지고 있다.^[13]
• '''스파이웨어''': 사용자의 동의나 인지 없이 개인 정보 또는 민감한 정보를 수집, 사용하고 불법적으로 유포하여 모바일 기기에 위협을 가하는 악성 코드이다. 주로 시스템 모니터, 트로이 목마, 애드웨어, 추적 쿠키의 네 가지 유형으로 분류된다.^[14] 대부분의 사용자가 앱 설치 시 앱이 요구하는 권한을 제대로 확인하지 않아 스파이웨어를 자신도 모르게 설치할 위험이 크다. 때로는 공식 앱 스토어나 마켓 등에서도 발견될 정도로 식별하기 어렵다.
• '''백도어''': 컴퓨터 시스템의 보안 제한을 우회하여 허가 없이 접근하기 위한 은밀한 방법이다. 간단히 말해, 다른 사람이 탐지되지 않고 시스템에 드나들 수 있도록 하는 코드 조각이다.^[15]
• '''드롭퍼''': 사용자가 모르는 사이에 기기에 다른 프로그램을 몰래 설치하도록 설계된 악성 코드이다. 여기에는 다른 악성 코드나, 공격자가 금전적 이득을 위해 멀버타이징(malvertising) 캠페인 등에서 배포하려는 정상적인 앱이 포함될 수 있다.

4. 주요 모바일 멀웨어

최초로 알려진 모바일 기기 관련 위협인 티모포니카(Timofonica)는 2000년 스페인에서 발견되었으나, 실제로는 개인용 컴퓨터에서 GSM 휴대폰으로 특정 비방 메시지가 담긴 SMS를 대량 발송하는 방식이었다. 휴대폰 자체를 감염시키는 것은 아니었기에 진정한 모바일 멀웨어로 분류되지는 않는다.^[2] 2004년에는 게임 ''모스키토''의 불법 복제 방지 코드를 변조하여 사용자 몰래 SMS를 전송하는 오잼(Ojam) 해킹 시도가 발견되었다.

최초의 진정한 모바일 멀웨어는 2004년 발견된 카비르(Cabir)이다.^[5] 심비안 운영 체제를 사용하는 휴대폰을 대상으로 블루투스를 통해 전파되었으며,^[3][4] 감염 시 부팅할 때마다 'Caribe' 메시지를 표시하고 주변 기기로 확산을 시도했다. 러시아에서 처음 보고된 후 일본 등 여러 국가로 퍼져나갔다.^[35][36] 이듬해인 2005년에는 심비안 60 시리즈 폰을 감염시키는 Commwarrior 웜이 등장했는데, 이는 MMS를 통해 주소록의 연락처로 자신을 복제하여 전송하는 방식과 블루투스를 이용한 전파 방식을 모두 사용했다.^[6]

이후 다양한 플랫폼과 형태의 모바일 멀웨어가 등장했다.

• 더츠(Duts): Pocket PC 플랫폼 최초의 파일 감염 바이러스로, 특정 크기 이상의 .exe 파일을 감염시킨다.
• 스컬스(Skulls): 심비안 OS 대상 트로이 목마. 휴대폰 아이콘을 해골 이미지로 바꾸고 앱을 무력화하며, 악성 링크가 포함된 SMS를 대량 발송하여 금전적 피해와 추가 감염을 유발한다.
• 플렉시스파이(FlexiSpy) (2006년): 스토커웨어의 일종으로, 처음에는 심비안용으로 개발되었으나^[18] 이후 안드로이드 및 iOS까지 지원하게 되었다.^[19][20] 위치 추적, 메시지/통화 감시, 주변 소리 도청 등 강력한 감시 기능을 제공한다.^[21]
• 하티하티(HatiHati) (2007년): 심비안 OS 기기 대상 웜 유사 소프트웨어.^[22] 도난 방지 앱의 불법 복제본으로,^[23] 메모리 카드 자가 복제 및 특정 번호로의 대량 SMS 발송 문제를 일으켰다.^[24] 이로 인해 일부 중동 지역 통신망에서는 상당한 SMS 트래픽을 유발하기도 했다.^[25]
• Ikee (2009년): iOS 최초의 웜.^[27] 탈옥된 기기에서만 작동하며, SSH를 통해 다른 기기로 전파를 시도한다. 감염 시 배경화면이 릭 애스틀리 사진으로 바뀌는 릭롤링 현상을 일으킨다.
• 지트모(ZitMo) (2010년): PC 멀웨어인 Zeus와 연계된 트로이 목마. 온라인 뱅킹용 mTAN 코드 탈취를 목적으로 수신 SMS를 가로채는 모바일 중간자 공격을 수행한다.^[26] 심비안, Windows Mobile, 블랙베리, 안드로이드 등 다양한 플랫폼에서 발견되었다.
• Trojan-SMS.AndroidOS.FakePlayer.a (2010년): 카스퍼스키 랩이 보고한 최초의 안드로이드 SMS 멀웨어.^[7][8] 정상 앱으로 위장해 설치된 후, 사용자 몰래 프리미엄 번호로 SMS를 전송하여 요금을 발생시킨다.^[9]
• GingerMaster: 안드로이드 2.3(진저브레드) 취약점을 이용하는 트로이 목마. 루트 권한을 획득하여 사용자 ID, SIM 카드 정보, 전화번호, IMEI 등 기기 정보를 탈취해 원격 서버로 보낸다.
• DroidKungFu: 안드로이드 앱 형태의 트로이 목마. 루트 권한 획득 후 백도어를 설치하여 파일 삭제, 추가 앱 설치 등 악성 행위를 수행하고 기기 정보를 탈취한다.
• Android.Nickispy (2011년): 한국에서 처음 발견된 통화 녹음 기능의 트로이 목마형 바이러스.^[38] 이후 미국에서도 유사 형태가 발견되었으나^[39][40] 실제 피해는 제한적이었다. 시만텍도 유사 멀웨어를 보고했으나^[41] 작동 불안정성 등으로 위협 수준은 낮게 평가되었다. 이후 다른 취약점을 이용한 "TigerBot" 등이 등장하며 통화 도청 위협은 계속되었다.^[42]
• 삼사포(Samsapo) (2014년): 안드로이드 최초의 웜.^[28] 주로 러시아 사용자를 대상으로 스파이웨어 기능, 악성 파일 다운로드, 프리미엄 SMS 발송 등을 수행했다.^[29]
• 건파우더(Gunpoder): 브라질 등 일부 국가의 공식 구글 플레이 스토어를 통해 유포된 최초의 파일 감염 바이러스로 알려졌다.^[30]
• 전원 끄기 위장 멀웨어 (2015년): 중국에서 발견된 멀웨어. 기기 종료 화면을 위장하여 실제로는 켜진 상태를 유지하며 원격 조작으로 전화 발신, 사진 촬영, 도청 등을 가능하게 한다.^[43][44]
• Shedun: 안드로이드 기기를 루팅하여 강제로 광고를 노출시키는 애드웨어 멀웨어.
• 허밍배드(HummingBad) (2016년): 1천만 대 이상의 안드로이드 기기를 감염시켜 사용자 정보를 판매하고 허위 광고 클릭을 유도하여 부당 이익을 취했다.^[31]
• 페가수스(Pegasus) (2016년): 이스라엘 NSO 그룹이 개발한 고성능 스파이웨어. iOS의 제로데이 취약점을 이용해 원격으로 기기를 탈옥시키고^[32] 메시지, 통화, 위치 정보 등을 탈취하며 마이크 원격 활성화도 가능하다.^[33] 이후 안드로이드 버전도 확인되었다.^[34] 주로 정부 기관에 판매되어 인권 운동가, 언론인 등을 감시하는 데 사용되어 큰 논란을 일으켰다.
• 조커 멀웨어(Joker Malware) (2017년): 안드로이드 대상 멀웨어.^[17] 정보 탈취 외에도 일회용 비밀번호를 가로채 사용자를 유료 서비스에 몰래 가입시키는 등의 피해를 준다.
• 오토리코스(Autolycos) (2022년): 사용자 몰래 프리미엄 유료 서비스에 가입시키는 최신 멀웨어.^[16]

5. 대응 및 예방

방대한 종류의 휴대폰 바이러스가 계속해서 등장하고 있으므로, 앱 스토어 등 신뢰할 수 있는 경로를 통해서만 앱을 내려받고, 모바일 보안 앱을 설치하여 항상 최신 상태로 유지하는 등의 대책 마련이 필수적이다.

참조

_[1] 서적 Mobile malware attacks and defense Syngress/Elsevier 2009
_[2] 뉴스 Mobile Phones Swamped by E-Mail Virus http://www.ecommerce[...] 2000-06-07
_[3] 간행물 Malware Goes Mobile http://www.cs.virgin[...] Scientific American 2006-11
_[4] 서적 How Do Cell Phones Work? https://books.google[...] Infobase Publishing
_[5] 웹사이트 10 years since the first smartphone malware – to the day. https://eugene.kaspe[...] 2021-07-28
_[6] 웹사이트 Computer Virus Timeline http://www.infopleas[...]
_[7] 웹사이트 Android Virus http://www.2-remove-[...] Security Lab
_[8] 웹사이트 Information about Smartphone Virus and Prevention tips http://myphonefactor[...] MyPhoneFactor.in 2013-01-12
_[9] 웹사이트 First SMS Trojan detected for smartphones running Android http://www.kaspersky[...] Kaspersky Lab 2010-10-18
_[10] 간행물 Evolution, Detection and Analysis of Malware in Smart Devices http://www.seg.inf.u[...] 2013-11-11
_[11] 간행물 Applications of deep learning for mobile malware detection : A systematic literature review 2022
_[12] 웹사이트 How to Remove an Android Virus http://www.latestgad[...] 2019-03-24
_[13] 웹사이트 The Ultimate Guide to iPhone Repair: Common Problems and Fixes https://blog.erip.in[...] 2023-03-27
_[14] 웹사이트 How to Track Phone Silently [2023 Guide] - Techie Maish https://techiemaish.[...] 2023-04-26
_[15] 웹사이트 What Is A Backdoor and How to Protect Against It {{!}} Safety Detective https://www.safetyde[...] 2018-11-22
_[16] 웹사이트 New Android malware on Google Play installed 3 million times https://www.bleeping[...] 2022-07-13
_[17] 웹사이트 Security researchers warn of Joker malware's resurgence in Play Store apps https://www.androidp[...] 2022-07-08
_[18] 웹사이트 Meet FlexiSpy, The Company Getting Rich Selling 'Stalkerware' to Jealous Lovers https://www.vice.com[...] 2021-07-28
_[19] 웹사이트 Spy software company argues product isn't a Trojan https://www.computer[...] 2006-03-31
_[20] 웹사이트 Stalking Stalkerware: A Deep Dive Into FlexiSPY https://blogs.junipe[...] 2019-12-20
_[21] 웹사이트 Top 10 Monitoring Features From FlexiSPY https://blog.flexisp[...] 2018-02-09
_[22] 웹사이트 Mobile Malware Evolution: An Overview, Part 3 https://securelist.c[...]
_[23] 웹사이트 NT fortifying against SMS virus https://thehimalayan[...] 2009-05-11
_[24] 웹사이트 SMS Virus Spreading All Over - Get Full Info. • TechSansar.com https://techsansar.c[...]
_[25] 웹사이트 Network Protection in the Middle East https://www.adaptive[...]
_[26] 웹사이트 ZeuS-in-the-Mobile – Facts and Theories https://securelist.c[...]
_[27] 웹사이트 First iPhone worm discovered – ikee changes wallpaper to Rick Astley photo https://nakedsecurit[...] 2009-11-08
_[28] 웹사이트 Samsapo Android Malware Spreads like a Computer Worm https://news.softped[...] 2014-05-02
_[29] 웹사이트 Android malware worm catches unwary users https://www.welivese[...] 2014-04-30
_[30] 웹사이트 Mobile virus hack Google Play user on Brazil http://mestre.art.br[...]
_[31] 웹사이트 HummingBad malware infects 10m Android devices https://www.theguard[...] 2016-07-06
_[32] 웹사이트 A serious attack on the iPhone was just seen in use for the first time https://www.theverge[...] 2016-08-25
_[33] 간행물 The Million Dollar Dissident: NSO Group's iPhone Zero-Days used against a UAE Human Rights Defender https://citizenlab.c[...] 2016-08-24
_[34] 웹사이트 Pegasus for Android: the other side of the story emerges https://blog.lookout[...]
_[35] 웹사이트 携帯電話ウイルスを伝える第一報（2004年6月 INTERNET Watch） https://internet.wat[...]
_[36] 뉴스 「Cabir上陸」はどれほど恐れるべきなのか https://www.itmedia.[...] ITmedia 2005-03-04
_[37] 뉴스 「携帯電話を狙うウイルス，半年で2倍に」 https://xtech.nikkei[...] F-Secure(2006年5月1日 ITpro) 2006-05-01
_[38] 뉴스 Android：悪性コード確認、通話録音やバックドアも--第三者マーケットから https://japan.cnet.c[...] CNET Japan
_[39] 뉴스 通話を録音・外部へ送信：Android携帯「トロイの木馬」 http://wired.jp/2011[...] wired.jp
_[40] 뉴스 Android狙いのマルウェアがさらに進化、携帯電話の会話を録音 https://www.itmedia.[...] ITmedia
_[41] 뉴스 Android端末は意外に安全？--ハード作りこみでマルウェアが同様に稼働せず http://japan.zdnet.c[...] ZDnet
_[42] 뉴스 Androidに感染する新型マルウェア「TigerBot」登場、通話盗聴も可能に https://gigazine.net[...] gigazine
_[43] 간행물 AVG Virus Lab(英語) http://now.avg.com/m[...] AVG
_[44] 뉴스 「スマホの電源がオフの間も監視するマルウェア」はどのように動いているのか？ https://gigazine.net[...] gigazine
_[45] 뉴스 香港のデモ隊をスパイするAndroidトロイの木馬 http://news.drweb.co[...] Dr.WEB
_[46] 뉴스 香港でデモ参加者を標的にしたスパイウェア - 中国政府が関与の可能性も http://wirelesswire.[...] WirelessWire