텅쉰, 애플 ID·비밀번호 절취 바이러스 ‘i.privacy.unflod.’ 대량 출현
[보안뉴스 온기홍=중국 베이징] 중국 유명 인터넷업체인 텅쉰(Tencent)은 최근 애플 아이폰(iPhone) 등의 아이디(ID)와 비밀번호를 훔치는 이동전화 바이러스가 애플 iOS 기반 ‘탈옥(jailbreaking)’ 기기에서 대량으로 나타났다고 21일 밝혔다.
텅쉰의 발표에 따르면, 이른바 ‘애플 대도’라는 이름을 가진 바이러스 ‘i.privacy.unflod.’는 애플 아이디와 비밀번호를 절취하는 것으로 밝혀졌다. 텅쉰은 자사의 이동전화 보안 솔루션을 써서 최근 애플 iOS의 ‘탈옥’ 기기들에서 이 바이러스를 집중적으로 탐지해 퇴치하고 있다고 설명했다.
탈옥은 iOS 기반 단말기에 애플의 앱스토어에 정식 등록되지 않은 다른 애플리케이션을 설치하거나 시스템에 기본적으로 내장되지 않은 다른 기능을 추기하기 위해 해킹된 상태로 만드는 행위를 말한다.
▲ 중국내 아이폰(iPhone) 등 애플 iOS 기반 ‘탈옥(jailbreaking)’ 기기에서 아이디와 비밀번호를 훔치는 바이러스 ‘i.privacy.unflod.’(일명 애플 대도)가 아이폰의 파일 디렉터리에서 탐지된 화면.
텅쉰의 이동전화 보안솔루션 전문가들의 조사 결과, 이 바이러스 ‘애플 대도’는 패키징을 통해 배경화면이나 잠금화면을 수정하는 부가 소프트웨어 ‘Intelliscreen X’,’elite 7 wallpapers’ 등에 들어간 것으로 나타났다.
이어 이를 탈옥 프로그램을 제공하는 쪽에 업로드 한 다음 단말기 사용자들이 무료로 내려 받게 하고 이를 틈타 애플 ‘탈옥’ 단말기 안에 설치된다.
텅쉰에 따르면, 최근 이 바이러스는 32비트 iOS 단말기에서 활동하고 있으며 아이폰5S와 아이패드 에어(iPad Air) 외에 모든 단말기는 ‘애플 대도’ 바이러스 감염 가능성에 처해 있다고 지적했다.
애플 iOS를 겨냥한 이 바이러스의 프로그램 경로는 ‘/Library/MobileSubstrate/DynamicLibraries/Unflod.dylib’로 밝혀졌다. 이 바이러스는 SSL 프로토콜에서 애플 아이디와 비밀번호를 획득하며, 이를 ‘23.88.10.4’와 ‘23.228.204.55’로 나타난 해커 서버의 7878 포트에 올리는 것으로 드러났다.
이 바이러스 프로그램의 개발자 증서에 따르면, 바이러스 제작자는 ‘WANG XIN’ 이라는 이름을 가진 개발자로 밝혀졌다. 바이러스 제작자가 훔친 애플 아이디와 비밀번호를 악용해 온 서버 주소(23.228.204.55)는 중국에 등록된 것으로 확인됐다. 구체적인 서버 주소는 중국 동북부 랴오닝성 선양(심양)시로 나타났다.
텅쉰의 이동전화 보안솔루션 전문가들은 “이 ‘애플 대도’라는 바이러스는 애플 아이디와 비밀번호를 훔친 뒤, 직접 이들 아이디에 연결된 신용카드를 통해 소비를 한다”고 밝혔다.
또한 중국 최대 온라인 쇼핑사이트인 타오바오(Taobao)에서 최근 많이 거래되고 있는 ‘iTunse(태화 코드)’와 ‘iTunse(소프트웨어 대리 구입)’, ‘iTunse(무료 계정)’ 등은 모두 도난당한 애플 아이디어와 비밀번호와 관련이 있다고 텅쉰은 지적했다.
▲ 중국 텅쉰이 자사 이동전화 보안 솔루션을 써서 애플 iOS 기반 ‘탈옥’ 기기에서 아이디와 비밀번호를 훔치는 바이러스 ‘i.privacy.unflod.’를 탐지한 화면.
게다가 애플 아이디와 iMessages, iCloud가 긴밀히 서로 연결돼 있으므로 사용자의 정보와 사진, 동영상 등 민감한 정보들도 유출될 수 있다. 이 때문에 바이러스 ‘애플 대도’의 위해성을 소홀히 해서는 안 된다는 지적이 나오고 있다.
이에 대해 중국 내 보안 전문가들은 “탈옥된 iOS 기기 사용자들은 아무렇게나 별도의 소프트웨어를 내려 받아서는 안 된다”며 “애플의 앱스토어 이외의 마켓에서 애플리케이션을 내려 받을 때는 바이러스 보안 검사를 반드시 해야 한다”고 당부했다.
아울러 사용자들은 이동전화 보안 프로그램을 써서 바이러스 유무를 검사하고 파일 관리 소프트웨어를 사용해 직접 ‘애플 대도’ 바이러스 경로의 파일 ‘/Library/MobileSubstrate/DynamicLibraries/Unflod.dylib’을 삭제하는 게 바람직하다고 보안전문가들은 강조했다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.co.kr)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
