Android용 메시지 앱 WhatsApp의 수정된 버전은 문자 메시지를 가로채기, 악성 페이로드를 제공, 전체 화면 광고를 표시, 기기 소유자가 모르는 사이에 원치 않는 프리미엄 구독에 등록의 기능을 하는 트로이 목마로 악용되었다.
러시아의 사이버보안 회사 Kaspersky는 화요일 공개된 writeup에서 "Trojan Triada은 FMWhatsApp이라는 메신저의 변경된 버전 중 하나에 광고 SDK와 함께 숨겨져 있었다. 이는 APKPure에서 발생하는 것과 유사한데, APKPure에서는 앱 안에 내장된 유일한 악의적인 코드가 페이로드 다운로더였다."라고 말했다.
정상 Android 앱의 수정 버전은 앱 개발자가 의도하지 않은 기능들을 수행하도록 설계되었다. FMWhatsApp은 사용자가 다른 테마로 앱을 꾸미기, 아이콘을 개인화, 화상 통화 기능을 비활성 등을 할 수 있다. Kaspersky가 탐지한 앱의 변조된 변종은 고유한 장치 식별자를 수집하는 기능이 탑재되어 있다. 수집된 식별자는 원격 서버로 전송되며, 원격 서버는 Triada 트로이 목마에 의해 다운로드, 암호 해독 및 실행되는 페이로드에 대한 링크와 함께 응답을 보낸다.
페이로드는 추가 모듈 다운로드, 전체 화면 광고 표시하는 행위부터 프리미엄 서비스를 사용자 몰래 구독하고 장치에서 WhatsApp 계정에 로그인하는 것에 이르기까지 광범위한 악의적인 활동을 수행하는데 사용될 수 있다. 더 나아가 공격자는 WhatsApp 계정을 가로채고 제어하여 사회 공학 공격을 수행하거나 스팸 메시지를 배포하여 멀웨어를 다른 장치로 전파할 수 있다.
연구원들은 "FMWhatsapp 사용자가 앱에 SMS 메시지를 읽을 수 있는 권한을 부여했다는 점에 주목해야 한다. 이는 트로이 목마 및 FMWhatsApp이 로드하는 모든 추가 악성 모듈이 SMS 메시지에 액세스할 수 있음을 의미한다. 이렇게 되면 공격자는 프로세스를 완료하는데 확인 코드가 필요한 경우인 프리미엄 구독과 같이 행위도 피해자 몰래 자동으로 등록할 수 있다."라고 말했다.
출처
https://thehackernews.com/2021/08/modified-version-of-whatsapp-for.html
