안드로이드 통해 퍼지는 신종 트로이목마 바이러스 '비상'

[화이트페이퍼=한상현 기자] 안드로이드 기기를 통해 해킹하는 신종 트로이 목마가 나타나 사용자들의 각별한 주의가 필요하다.

5일 카스퍼스키랩은 안드로이드 운영체제(OS) 악성코드인 스위처(Switcher) 트로이목마를 발견했다고 밝혔다.

이 트로이목마는 안드로이드 기기 사용자를 매개체로 삼아 와이파이 라우터를 감염시킨다. 이후 해당 라우터의 도메인네임시스템(DNS) 설정을 변경시켜 해당 라우터와 연결된 기기를 해커가 제어하는 웹사이트로 트래픽을 교묘하게 접속하게 한다.

DNS는 ‘x.com’과 같이 읽을 수 있는 문자로 구성된 웹 주소를 숫자로 이뤄진 IP 주소로 변환하는 서비스다. 스위처 트로이목마는 이 변환 과정에 침투해 네트워크 활동을 장악한다.

일반적으로 무선 라우터는 네트워크 내 모든 기기의 DNS 설정을 자체적으로 재구성하기에 결국 모든 사용자가 하나의 악성 DNS를 사용하게 되는 것이다.

스위처 트로이목마는 주로 사용자가 해커가 운영하는 웹사이트에서 악성코드를 다운로드 하는 방식으로 감염된다. 악성코드의 변장은 두 가지가 있다. 중국 검색 엔진인 바이두(Baidu)의 안드로이드 클라이언트로 위장한 버전과 와이파이 네트워크 정보를 공유하는 중국의 유명 앱 ‘와이파이만능월시(WiFi万能匙)’를 위조한 버전이다.

현재까지 이 트로이목마에 감염된 무선 네트워크는 중국을 중심으로 1280개에 달한다. 카스퍼스키랩은 사용자가 DNS 설정을 점검하고, ▲101.200.147.153 ▲112.33.13.11 ▲120.76.249.59에 해당하는 악성 DNS 서버가 있는지 확인할 것을 요청했다.

DNS 설정에서 이들 서버 중 하나라도 보이면 이용 중인 인터넷 서비스 공급업체에 지원을 요청하거나 와이파이 네트워크 소유자에게 경고해야 한다. 또, 공격 가능성을 차단하기 위해 라우터 관리자 웹 인터페이스의 기존 아이디와 암호를 변경해야 한다고 조언했다.

이창훈 카스퍼스키랩코리아 지사장은 “스위처 트로이목마는 네트워크 전체를 표적으로 삼고 개인 사용자든 기업이든 가릴 것 없이 네트워크에 연결된 모든 사용자를 피싱에서부터 2차 감염까지 크고 작은 위협에 노출시킨다”며 “일단 공격이 성공적으로 이뤄지면 탐지하기 쉽지 않으며 제거하기는 더욱 어렵고, 변조된 설정은 라우터를 재시작해도 원래대로 돌아가지 않는다”고 경고했다.