침해사고/위협동향

금융정보 탈취 모바일 악성코드 ‘지트모’, 봇넷 수준 진화

이유지 기자
- 포티넷 보안위협 분석, 안드로이드 기반 악성코드 급증

[디지털데일리 이유지기자] 금융정보를 탈취하는 모바일 악성코드인 ‘지트모(Zitmo, Zeus-in-the-mobile)’가 봇넷 수준으로 진화하고 있다는 분석이 나왔다.

포티넷은 악성코드 연구소인 포티가드랩이 지난 7월부터 9월까지 분석을 바탕으로 최근 발간한 보안위협 전망 보고서에서 “‘지트모’ 모바일 뱅킹 트로이목마 악성코드가 봇넷 수준으로 진화하는 증거를 확인했다”고 30일 밝혔다.

포티가드랩에 따르면, 최근 안드로이드 기반의 모바일 악성코드가 급증하고 있는 가운데,  ‘지트모’는 안드로이드와 블랙베리의 새로운 버전 상에서 더욱 복잡한 위협으로 진화하고 있다.

인터넷뱅킹 정보를 갈취하는 악성코드로 악명이 높은 ‘제우스(Zeus)’의 모바일 버전이다. 지트모는 심비안, 블랙베리를 거쳐, 안드로이드 플랫폼까지 진출했다.

'지트모'는 인터넷뱅킹의 토큰 인증 목적으로 전송되는 문자메시지(SMS)상의 인증 문자를 탈취함으로써 모바일 기기 소유자 명의의 은행계좌로 접근할 수 있는 치명적인 악성코드이다.

안드로이드와 블랙베리를 위한 새로운 버전의 지트모는 일종의 봇넷과 비슷한 기능을 추가함으로써 사이버 범죄자가 SMS 명령어를 통해 모바일 기기에 설치된 트로이목마 프로그램을 다룰 수 있도록 허용한다.  

이와 관련해 최원식 포티넷코리아 사장은 “치명적인 지트모의 새로운 버전이 이미 유럽과 아시아에서 확산되고 있는 추세”라며, “해당지역의 몇몇 악성코드 사례를 분석하면서 이러한 악성코드가 제작자에 의해 테스트되고 특정 공격대상에 설치되고 있다는 사실을 발견했다”고 말했다.

포티넷은 점차 더 많은 은행과 온라인 쇼핑몰에서 결제 확정을 위해 인증코드를 문자로 발송하는 이중인증 방식을 채택하고 있는 상황에서, 안드로이드와 블랙베리 사용자는 해당 은행이나 금융권에서 설치를 요구하는 프로그램에 경계심을 늦추지 말아야 한다고 전했다.

일반적으로 은행이나 금융권에서 프로그램 설치를 요구하는 일은 드물다는 것을 인지해야 한다는 것이다.

포티가드랩은 “완벽한 보안을 위해서 온라인 뱅킹을 수행할 때 제공하는 인증된 설치 방법을 따라야 한다"며, "만약 이러한 방법을 어렵다면 사용자는 자신이 사용하는 스마트폰과 데스크톱 PC에 백신 프로그램을 설치하고 가장 최신버전으로 업데이트를 해야 한다”고 권고했다.

한편, 포티넷은 지난 3개월 간 안드로이드 기반의 모바일 악성코드가 급증하면서 대규모 스팸집단인 Netsky PP와 견줄만한 수준에 달했다고 분석했다.

변종 악성코드인 Android/NewyearL과 Android/Plankton가 포티가드 모니터링 시스템을 통해 아시아태평양(APAC)과 유럽(EMEA) 지역에서는 대략 1%, 북남미 지역에서는 4% 가량 감지됐다.

이 변종 악성코드는 일반적인 애플리케이션에 침입해 모바일기기 상태 창에 원하지 않는 광고를 지속 노출시키거나 IMEI(국제모바일기기식별코드) 번호를 통해 사용자를 추적하거나, 데스크톱상의 아이콘을 삭제시키는 증상을 야기했다.

 최원식 사장은 “안드로이드 악성코드 급증 원인은 사용자가 직접 자신의 모바일기기에 악성코드가 포함된 애플리케이션을 설치하는 것에서 기인했다”며, “일반적으로 그러한 애플리케이션은 불특정한 광고회사와 연계해 돈을 벌 수 있도록 지원하는 경향이 있다”고 설명했다.    

포티넷은 안드로이드 악성코드 설치를 방지할 대책으로, 애플리케이션 설치시 설치 동의약관을 꼼꼼하게 읽어볼 것을 권고했다. 높은 평점이나 리뷰가 많고, 다운로드 횟수가 많은 애플리케이션만 설치하는 것도 좋은 방법이라고 밝혔다.

<이유지 기자> yjlee@ddaily.co.kr

이유지 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널