WolfRAT 악성코드, 왓츠앱 및 페이스북 메신저 노려

WolfRAT malware targets WhatsApp, Messenger

새로운 악성코드인 “WolfRAT”이 태국 안드로이드 기기에 설치된 왓츠앱, 페이스북 메신저, 라인을 노리는 것으로 나타났습니다.

Cisco Talos 인텔리전스 팀에 따르면, WolfRAT은 최근 유출된 DenDroid 악성코드 패밀리를 기반으로 합니다. 

또한 이 수정된 악성코드 버전이 예전 “Wolf Research” 이름으로 활동했으나 “LokD”로 이름을 변경한 공격자의 소행일 것으로 추측했습니다.

지난 3월, PC Risk는 LokD가 피해자 파일을 암호화하고, 이름을 변경하고 랜섬노트를 생성하는 Djvu 랜섬웨어 패밀리에 속한다고 보도했습니다. 

LokD는 암호화된 파일명에 “.lokd” 확장자를 붙이는 것이 특징입니다.

WolfRAT은 태국의 구글 서비스, 구글 플레이, 플래시 업데이트를 모방합니다. 

이 RAT은 타깃 안드로이드 기기에 설치되면 기기 정보 수집, 사진 및 영상 촬영, SMS 메시징 해킹, 오디오 녹음, 파일 탈취 및 C2 서버로 전송 등과 같은 스파이 행위를 시작합니다.

이 악성코드는 콘텐츠 유출 기능을 통해 브라우저 내역을 탈취하고, 특히 메신저 앱을 반복적으로 공격합니다. 

예를 들어, 왓츠앱이 사용 중일 경우 매 50초마다 스크린 기록 기능을 실행하며 앱이 종료되었을 경우에만 기능을 멈춥니다.

Talos는 Wolf Research의 과거 활동으로 미루어 볼 때 이 악성코드가 패키징 및 판매가 가능한 정보 수집 툴로 사용되었을 것이라 추측했습니다.

Talos는 이 공격자의 코드가 겹치고 오픈소스 프로젝트를 복사/붙여넣기 한 점을 예시로 들며 “매우 아마추어”같다고 평했습니다.

Talos는 태국 사용자와 기기를 노리는 공격이 발견되었으며, C2 서버 중 일부는 태국에 존재한다고 밝혔습니다. 

또한 이 캠페인의 패널에서 태국어로된 JavaScript 코멘트를 찾아볼 수 있었고 도메인 명도 태국 음식을 참조했습니다. 

이는 사용자가 방해 없이 C2 패널에 클릭 및 방문하도록 유도하기 위한 일반적인 전략입니다.

Talos는 Wolf Research가 C2 패널에서의 인터셉션 기술을 연구하고 있는 또 다른 키프로스의 조직인 Coralco Tech와 관련이 있을 것으로 추측했습니다.

현재 알약M에서는 해당 악성코드 샘플에 대해 Trojan.Android.Agent으로 탐지 중입니다.

출처:

https://www.scmagazine.com/home/security-news/wolfrat-malware-targets-whatsapp-messenger/

https://www.zdnet.com/article/wolfrat-targets-users-of-whatsapp-facebook-messenger-apps-on-android-devices/

https://blog.talosintelligence.com/2020/05/the-wolf-is-back.html