ESET 연구원들은 WhatsApp 및 Telegram 앱의 트로이목마 버전과 특히 Android 및 Windows 사용자를 대상으로 하는 인스턴트 메시징 앱을 위한 수십 개의 모방 웹사이트를 식별했습니다. 탐지된 악성코드의 대부분은 클립보드 콘텐츠를 훔치거나 변경하는 악성코드 유형인 Clipper입니다. 문제의 모든 소프트웨어는 피해자의 암호화폐를 훔치려 시도하며 일부는 암호화폐 지갑을 노립니다. 처음으로 ESET Research는 특히 인스턴트 메시징 앱을 대상으로 하는 Android 기반 클리퍼 소프트웨어를 감지했습니다. 또한 이러한 앱 중 일부는 광학 문자 식별(OCR)을 사용하여 손상된 장치에 저장된 스크린샷에서 텍스트를 추출합니다. 이는 Android 기반 맬웨어의 또 다른 첫 번째 사례입니다.
"사기꾼들은 인스턴트 메시징 앱을 통해 암호화폐 지갑을 탈취하려고 합니다."
모조 애플리케이션에 사용된 언어를 조사한 결과 이러한 소프트웨어를 사용하는 사람들이 특히 중국어를 사용하는 사용자를 대상으로 하고 있음이 밝혀졌습니다. Telegram과 WhatsApp은 각각 2015년과 2017년부터 중국에서 금지되었기 때문에 이러한 앱을 사용하려는 사람들은 간접적인 수단에 의존해야 했습니다. 문제의 위협 행위자는 무엇보다도 가짜입니다. YouTube 그는 사용자를 자신의 채널로 리디렉션한 다음 Telegram 및 WhatsApp 웹사이트를 모방한 사용자를 리디렉션하는 Google Ads를 설정했습니다. ESET Research는 이러한 허위 광고 및 관련 정보를 제거하지 않습니다. YouTube Google에 채널을 신고했고 Google은 즉시 이러한 모든 광고 및 채널의 사용을 종료했습니다.
트로이 목마로 위장한 애플리케이션을 탐지한 ESET 연구원 Lukáš Štefanko는 다음과 같이 말했습니다.
“우리가 탐지한 클리퍼 소프트웨어의 주요 목적은 피해자의 메시지를 캡처하고 주고받은 암호화폐 지갑 주소를 공격자의 주소로 바꾸는 것입니다. 트로이 목마로 위장한 Android 기반 WhatsApp 및 Telegram 앱 외에도 동일한 앱의 트로이 목마 숨겨진 Windows 버전도 감지했습니다.”
이러한 앱의 트로이 목마로 위장한 버전은 동일한 목적을 수행하지만 다른 기능을 가지고 있습니다. 검토된 Android 기반 클리퍼 소프트웨어는 OCR을 사용하여 피해자의 장치에 저장된 스크린샷과 사진에서 텍스트를 읽는 최초의 Android 기반 맬웨어입니다. OCR은 핵심 문구를 찾아 재생하는 데 사용됩니다. 핵심 문구는 암호 화폐 지갑을 복구하는 데 사용되는 단어 집합인 니모닉 코드입니다. 악의적인 행위자는 키 문구를 손에 넣자마자 해당 지갑의 모든 암호화폐를 직접 훔칠 수 있습니다.
악성코드는 피해자의 암호화폐 지갑 주소를 공격자에게 전송합니다. sohbet 주소로 대체합니다. 프로그램에서 직접 또는 공격자의 서버에서 동적으로 얻은 주소를 사용하여 이를 수행합니다. 또한 이 소프트웨어는 텔레그램 메시지를 모니터링하여 암호화폐와 관련된 특정 키워드를 감지합니다. 소프트웨어가 이러한 키워드를 감지하는 즉시 전체 메시지를 공격자의 서버로 전달합니다.
ESET Research는 RAT(원격 액세스 트로이 목마)가 포함된 Windows 기반 Telegram 및 WhatsApp 설치 프로그램과 이러한 지갑 주소 변경 클리퍼 소프트웨어의 Windows 버전을 탐지했습니다. 애플리케이션 모델을 기반으로 Windows 기반 악성 패키지 중 하나가 클리퍼 소프트웨어가 아니라 피해자의 시스템을 완전히 제어할 수 있는 RAT인 것으로 밝혀졌습니다. 따라서 이러한 RAT는 애플리케이션 흐름을 가로채지 않고 암호화폐 지갑을 훔칠 수 있습니다.
Lukas Stefanko는 이와 관련하여 다음과 같은 조언을 했습니다.
“Google Play 스토어와 같이 신뢰할 수 있고 신뢰할 수 있는 소스에서만 앱을 설치하고 중요한 정보가 포함된 암호화되지 않은 사진이나 스크린샷을 장치에 저장하지 마십시오. 장치에 트로이 목마로 위장한 Telegram 또는 WhatsApp 응용 프로그램이 있다고 생각되면 장치에서 이러한 응용 프로그램을 수동으로 제거하고 Google Play 또는 합법적인 웹 사이트에서 직접 응용 프로그램을 다운로드하십시오. Windows 기반 장치에 악성 Telegram 앱이 있다고 의심되는 경우 위협을 탐지하고 제거하는 보안 솔루션을 사용하십시오. Windows용 WhatsApp의 유일한 공식 버전은 현재 Microsoft 스토어에서 사용할 수 있습니다.”