[하루한줄] WhatsApp을 통해 퍼진 안드로이드 Malware

URL

Target

Android WhatsApp

Explain

Check Point Research가 Google Play Store에서 사용자의 WhatsApp 메시지를 통해 확산되는 악성 애플리케이션을 발견했습니다. 해당 악성 앱은 Flix Online이라는 이름으로 Google Play Store에 등록되어 있었고 피해자의 모바일 기기 속 WhatsApp 메시지로 확산되는 웜(Worm)입니다. Check Point는 WhatsApp과 같이 정상적인 앱의 데이터를 조작하거나 탈취할 수 있다는 점에서 해당 웜을 혁신적이고 위험한 새로운 기술이라 평가하고 있습니다.

Flix Online이 기기에 설치되면 사용자에게 ‘Overlay’, ‘Battery Optimization Ignore’, ‘Notification’ 권한을 요청합니다. 이중 핵심이 되는 ‘Notification’ 권한은 Flix Online이 모바일 기기가 받는 모든 메시지에 대한 알림에 접근, 답장, 해제할 수 있게 합니다. Flix Online은 OnNotificationPosted 콜백을 사용해 알림 패키지의 status.BarNotification0.getPackageName()을 검사해 알림 패키지의 근원지가 WhatsApp인지 판단합니다. 그 후 해당 알림을 제거함과 동시에 제목 및 내용을 탈취합니다. 또한 Inline reply 컴포넌트를 사용해 추가 감염을 위한 답장을 전송합니다.

두 달 동안 Flix Online 앱은 약 500번 다운로드되었고 현재는 Google Play Store에서 삭제되었습니다.

1day1line

Fabu1ous android malware whatsapp

Fabu1ous

본 글은 CC BY-SA 4.0 라이선스로 배포됩니다. 공유 또는 변경 시 반드시 출처를 남겨주시기 바랍니다.

[Translation] Architecture of Ransomware Part 1 Previous

[하루한줄] CVE-2021-24086: Windows IPv6 denial of service vulnerability Next