보안 연구원들이 공식 Google Play Store에서 악성 행위를 수행할 수 있는 Wormable Android 악성 앱을 발견했다. Checkpoint 연구진들은 "해당 앱은 Flix Online라는 이름으로 불리고 있으며 공격자가 운영하고 있는 WhatsApp 메시지를 통해 명령을 수신받아 행위를 수행한다." 고 밝혔다. Netfilx 로 위장된 앱은 가짜 로그인 화면을 만들 수 있도록 권한을 요청하기도 하는데, 이는 WhatsApp에서 발생하는 알림을 숨기고자 하는 목적을 가지고 있다.

[그림1. 권한요청 및 Netflix 위장]

[그림2. C&C서버 통신 코드]

[그림3. 앱 설정 관련 코드]

기기가 감염에 성공하면 악성 링크를 생성해  등록된 타 전화번호로 확산을 시도, 사용자의 WhatsApp 계정에서 데이터를 도난 등 여러 악성 행위를 수행할 수 있게 된다. 현재 해당 앱은 Store에서 삭제되었지만, 두 달 동안 총 500건의 다운로드가 발생했다.

WhatsApp을 C&C 서버로 사용한 것은 이번이 처음이 아니다. 2021년 1월, ESET 보안 연구원들은 화웨이 기반 모바일에서 WhatsApp C&C 기반 악성 앱을 발견한 바 있다. 해당 앱 또한 WhatsApp의 알림을 숨기기위한 권한을 별도로 요청했으며 공격 수법이 동일했다.

보안 연구원인 Hazum은 "악성코드가 별다른 어려움 없이 위장을 성공했고 Google Play Store의 보호를 우회할 수 있었다는 것은 심각한 문제다. 비록 악성 앱의 배포는 중단했지만 다른 곳에 숨겨져 활동하고 있을 가능성을 배제할 수 없는 실정이다." 고 언급했다. 또한, 신뢰할 수 있는 연락처에서 보낸 링크나 첨부 파일을 다운로드 하는 것도 주의를 요한다고 덧붙였다.

출처:

https://thehackernews.com/2021/04/whatsapp-based-wormable-android-malware.html

https://research.checkpoint.com/2021/new-wormable-android-malware-spreads-by-creating-auto-replies-to-messages-in-whatsapp/