Triada 트로이목마를 설치하는 수정된 안드로이드용 WhatsApp 버전 발견

 

 

Modified Version of WhatsApp for Android Spotted Installing Triada Trojan

 

악성 페이로드를 배포하고, 전체 화면 광고를 표시하고, 사용자가 모르는 사이 원치 않는 유료 서비스에 구독하도록 트로이목마화된 안드로이드용 WhatsApp 메시징 앱 버전이 발견되었습니다.

 

러시아의 사이버 보안 회사인 Kaspersky의 연구원들은 화요일 발행된 기술 보고서에서 아래와 같이 밝혔습니다.

 

"Triada 트로이목마가 광고 소프트웨어 개발 키트(SDK)와 함께 FMWhatsApp 16.80.0이라는 메신저의 수정된 버전 중 하나에 침투했습니다. 이는 앱에 포함된 유일한 악성코드가 페이로드 다운로더였던 APKPure의 사례와 유사합니다."

 

합법적인 안드로이드 앱의 수정된 버전(Modding이라고도 함)은 앱 개발자가 원래 생각하거나 의도하지 않은 기능을 수행하도록 설계되었으며, FMWhatsApp을 사용하면 사용자가 앱을 다양한 테마로 커스터마이징하고, 아이콘을 변경하고, 여러 기능을 숨기고, 화상 통화 기능을 비활성화할 수도 있습니다.

 

Kaspersky가 발견한 앱의 수정된 변종은 고유한 장치 식별자를 수집하는 기능이 포함되어 있었습니다. 이 식별자는 원격 서버로 전송되며, 서버는 페이로드로 연결되는 링크로 다시 응답합니다. 해당 링크를 통해 Triada 트로이목마가 다운로드, 복호화 및 실행될 수 있습니다.

 

 

<이미지 출처: https://securelist.com/triada-trojan-in-whatsapp-mod/103679/>

 

 

페이로드는 추가 모듈을 다운로드하고, 전체 화면 광고를 표시하고, 피해자가 모르게 유료 서비스를 구독하고, 기기에서 WhatsApp 계정에 로그인하는 등 광범위한 공격을 수행하는 데 사용될 수 있습니다.

 

심지어 WhatsApp 계정을 하이재킹 한 후 제어해 소셜 엔지니어링 공격을 수행하거나 스팸 메시지를 배포하여 악성코드를 다른 기기로 전파할 수 있습니다.

 

"FMWhatsapp 사용자가 앱에 SMS 메시지 읽기 권한을 부여한다는 점에 주목할 필요가 있습니다. 이는 트로이목마를 비롯하여 로드하는 모든 추가 악성 모듈도 여기에 접근할 수 있음을 의미합니다. 이로써 프로세스를 완료하는 데 확인 코드가 필요한 경우에도 피해자를 유료 서비스에 자동으로 구독하도록 등록할 수 있습니다.”

 

현재 이스트시큐리티 알약M에서는 해당 악성 샘플을 'Trojan.Android.Downloader'로 탐지 중입니다. 

 

 

 

 

출처:

https://thehackernews.com/2021/08/modified-version-of-whatsapp-for.html

https://securelist.com/triada-trojan-in-whatsapp-mod/103679/