더이포크타임스는 25일 벨기에 경찰이 구글 플레이스토어의 앱에서 안드로이드 기기를 감염시키는 악성 조커 바이러스가 돌아왔다고 경고했다. 특히 사용자 승인 없이 결제 서비스에 가입하고 사용자도 모르게 은행 계좌의 돈을 빼갈 수 있어 주의가 요구된다.
조커 바이러스는 2017년 휴대폰을 감염시키고 사기에 악용한 것으로 유명해졌다. 이후 구글 플레이스토어 방어시스템은 조커 바이러스가 숨겨진 1700여 개의 앱을 사용자가 다운로드하기 전에 제거해 왔다.
이런 종류의 바이러스는 초기에는 SMS를 통해 사기 치는 방법을 사용했지만, 최근 온라인 결제를 공격하는 방법으로 진화했다.
2020년 9월까지 50만 건 이상 다운로드받은 24개의 안드로이드 앱에서 조커 바이러스가 발견됐다. 당시 미국, 브라질, 스페인 등 30여 개국에 영향을 미친 것으로 추정된다. 해커들은 사용자 동의 없이 구독 서비스에 등록해 매주 구독당 최대 7달러(약 8000원)씩을 훔쳐 가는 수법을 썼다.
이 바이러스는 '브레드'로 알려진 멀웨어 계열의 바이러스로, 사용자의 동의 없이 휴대폰 요금 청구서를 해킹하고 작업을 승인하는 방식을 취했다.
사이버보안업체 퀵힐시큐리티랩(Quick Heal Security Lab)의 연구원들은 이 바이러스에 감염되면 스마트폰의 문자 메시지, 연락처 및 기타 정보를 입력할 수 있다고 설명한다. 이 바이러스가 위험한 이유는 사용자의 승인 없이 유료 서비스(보통 프리미엄 또는 가장 비싼 버전)에 가입하는 것이 가능하기 때문이다.
사실, 조커 바이러스로 피해를 받고도 이것을 인지하기는 어렵다. 실질적으로 요금 명세서를 자세히 검토한 후에야 피해를 당했다는 것을 인지하게 된다. 피해 금액이 적기 때문이다. 겉보기에는 정상적인 구독 서비스에 가입하는 것처럼 보이고, 요금이 적어서 비정상적인 움직임으로 감지되기도 쉽지 않다.
이번에 조커 바이러스가 감지되어 제거된 유해 앱은 보조 메시지(Auxiliary Message), 요소 스캐너(Element Scanner), 패스트 매직 SMS(Fast Magic SMS), 프리 캠스캐너(Free CamScanner), 고메시지(Go Messages), 슈퍼메시지(Super Message), 슈퍼SMS(Super SMS), 트래블 월페이퍼(Travel Wallpapers) 등이다.
이 앱들은 이미 플레이스토어에서 삭제됐다. 하지만 앱이 삭제됐다고 해서 다운로드 받은 앱이 자동으로 제거되는 것은 아니다. 안드로이드 사용자들은 스마트폰에 설치된 앱이 있는지 확인하고 즉시 삭제하는 것이 좋다.
한가지 더 주의할 점은 아직 밝혀지지 않았지만, 더 많은 앱이 감염됐을 가능성이 높고, 자신이 이미 사기의 피해자라도 그 사실을 모르는 수백만 명의 사용자가 있을 수 있다는 점이다.
하순명 기자 kidsfocal@chosunbiz.com