중국서 자기 모습 감추는 '은폐형' 모바일 악성코드 발견

아주경제 장윤정 기자 = 중국에서 자기 모습을 감추는 '은폐형' 안드로이드 모바일 악성코드가 발견됐다.

이 모바일 악성코드는 루팅 후 모듈을 바꿔 숨어버리기 때문에 모바일 백신으로도 잡아낼 수 없다. 

현재 세계 어느 나라의 모바일 보안제품으로도 탐지가 불가능한 '암' 같은 악성코드다.

걸리면 감염된줄도 모르고 몰래 숨어 지내는 이 골치아픈 모바일 악성코드가 언제 중국을 벗어나 국내로 넘어올지 모르기 때문에 휴대폰 제조사, 보안업체, 국가 차원의 대응방안 마련이 시급하다.

중국의 모바일 보안업체 ‘360 모바일 시큐리티(Mobile Security)’는 27일 은폐기법(stealth technique)을 갖춘 안드로이드 부트킷(Bootkit) 악성프로그램 ‘Oldboot B’를 발견했다고 밝혔다.

관련기사

• 안랩, 스마트폰 악성코드 지난해 동기 대비 2배 가량 증가
• ​안드로이드 스마트폰, 인터넷 검색할 때 파밍 사이트 조심하세요

'은폐기법(stealth technique)'이란 악성코드 실행 시 자신의 존재를 숨겨 백신이나 사용자의 발견 또는 제거를 어렵게 하는 기법을 말한다. 
 

Oldboot.B의 구조

또한 부트킷 자체가 루팅 후 커널단에서 동작하기 때문에 샌드박스단에서 동작하는 백신이 부트킷을 발견해 대응하기 어렵다. 

'Oldboot B’는 △백그라운드에서 자동으로 악성 앱 설치 △시스템 프로세스에 악성모듈 주입 △악성 코드 앱 제거 방지 △모바일 안티 바이러스 앱 제거 및 비활성화 △구성파일을 이미지로 숨기는 스테가노그래피(steganography) 기술 사용 등의 특징을 갖고 있다.

한 마디로 몰래 안드로이드폰에 숨어 자기 모습을 숨기고 설치된 후 구성파일을 스테가노그래피라는 이미지기법을 사용해 안보이게 숨기고 모바일 안티바이러스 앱을 없애거나 동작하지 못하게 해 자신을 발견할 수 없게 만든다.

이렇게 몰래 숨어든 'Oldboot B’는 지속적으로 사용자가 설치하지 않은 악성 안드로이드 앱이나 게임을 몰래 설치해 소액결제, 개인정보 유출 등의 피해를 발생시킨다. 

국내 보안전문가들은 "부트킷 모바일 악성코드는 루팅을 통해 폰을 개조한 후 설치되기 때문에 모바일 백신은 물론 어떠한 모바일 보안제품으로도 막을 수가 없다"며 "현재 부트킷 계열의 모바일 악성코드가 거의 중국에서 발견되고 있으나 중국을 넘어 한국으로 넘어오는 것은 시간문제"라고 지적했다. 

이어 "은폐형 모바일 악성코드의 확산을 막기 위해서는 개별 보안제품 차원이 아닌 제조사에서 안드로이드 폰을 생산 시 구글, 제조사, 정부 당국 등의 노력으로 대응방안을 시급히 찾아내야한다. 대규모 피해가 발생하기 전에 조치가 시급하다"고 당부했다.
 

boot_tst 동작 과정