가장 널리 사용되는 인스턴트 메시징 서비스 중 하나인 WhatsApp에는 원래 개발자가 제공하지 않은 특수 기능을 설치할 수 있는 많은 Mod가 있습니다. WhatsApp의 많은 모드 중 하나는 더 나은 개인 정보 보호, 앱 보관함, 채팅 테마 및 이모티콘 팩을 제공하는 FMWhatsApp입니다. 그러나 사용자에게 제공하는 또 다른 것이 있는데 그것은 불쾌하고 제거가 거의 불가능한 xHelper 트로이 목마를 대신하는 Triada Malware입니다.
이미지: GoogleKaspersky의 연구원들은 다음에 대해 놀라운 발견을 했습니다. 광고용 소프트웨어 배포 키트를 사용하여 설치된 모든 장치에 Triada 트로이 목마를 설치하는 FMWhatsApp 버전 16.80.0이라는 WhatsApp Mod입니다. Kaspersky 보안 전문가인 Igor Golovin은 Google Play에서 사용할 수 있는 모든 FMWhatsApp 클론에는 악성 모드가 포함되어 있지 않지만 다른 모드를 다운로드하고 설치하는 방법에 대한 광고와 지침이 포함되어 있다고 밝혔습니다. 그는 또한 “이 앱은 일부 인기 있는 WhatsApp 모드 배포 사이트에서 사용할 수 있었습니다. 하지만 링크를 공유할 수는 없습니다.”.
Triada Malware란 무엇입니까?
이미지: 360 Total SecurityTriada Malware는 2016년 Kaspersky 연구원에 의해 처음 발견되었으며 악성 코드로 분류되었습니다. 피해자의 장치에 다른 악성 코드를 전달하는 데 사용된 모바일 공급망 악성 코드입니다. 최근 발견된 새 버전은 금전적인 목적으로 FM WhatsApp 모드에서 배포한 광고 소프트웨어 개발 키트를 통해 사용자의 장치에 들어갑니다.
Trida 악성코드가 장치에 들어가면 페이로드 다운로더 역할을 하며 최대 6개까지 주입합니다. 다른 트로이 목마가 감염된 장치에 침투합니다. 이 트로이 목마는 피해자의 휴대폰에서 악의적인 활동을 수행하는 데 사용될 수 있습니다. Kaspersky는 Triada를 거의 눈에 띄지 않는 악성 코드이자 가장 발전된 모바일 트로이 목마 중 하나로 불렀습니다.
Triada의 이전 버전은 Google Play 스토어의 Kaspersky가 2019년에 CamScanner 및 APKPure에서도 발견했습니다.
Trada 악성코드는 설치된 장치에서 어떻게 작동합니까?
Triada 악성코드는 FMWhatsApp의 도움을 받아 사용자 장치에 설치되고 장치 정보 수집을 시작하여 정렬된 서버로 보냅니다. 명령 및 제어 서버는 감염된 Android 장치에 다운로드되어 실행되는 추가 페이로드를 제공합니다. 특정 유형의 악성코드가 다운로드되는 것은 아니지만 다음 표와 같이 임의의 유형이 실행될 수 있습니다.
Trojan-Downloader.AndroidOS.Agent.ic 악성 모듈을 다운로드하고 실행합니다. Trojan-Downloader.AndroidOS.Gapac.e 전체 화면 광고를 표시하고 기타 악성 모듈을 설치합니다. Trojan-Downloader.AndroidOS.Helper.a 가장 무서운 xHelper Trojan 설치 프로그램 모듈 중 하나를 설치하고 보이지 않는 광고를 실행합니다. Trojan.AndroidOS.MobOk.i 유료 구독을 위해 장치 사용자를 등록합니다. Trojan.AndroidOS.Subscriber.l 일단 설치되면 사용자를 프리미엄 구독에 등록합니다. Trojan.AndroidOS.Whatreg.b 장치 정보를 수집하고 WhatsApp 계정에 로그인합니다.위의 트로이 목마 외에도 다양한 유형의 맬웨어가 있을 수 있습니다. 다운로드하고 사용자 장치에 액세스할 수 있습니다. 이는 사용자가 FMWhatsApp을 다운로드할 때 문자 메시지, 전화 앱 등과 같은 다양한 권한을 요청하기 때문에 가능합니다. 그러나 FMWhatsApp 모드는 약속한 모든 기능을 제공하므로 이 모드를 맬웨어 디스펜서로 감지하기 어렵습니다. 악성 파일은 일반적으로 이러한 앱의 광고 블록을 통해 확산됩니다.
Google Play 스토어와 같은 공식 앱 스토어에서 소프트웨어를 다운로드하는 것이 좋습니다. Amazon, Samsung Galaxy Store 등 공식 버전에는 친구들에게 깊은 인상을 줄 수 있는 멋진 기능이 없을 수도 있지만 적어도 설치 후 안전과 보안이 보장됩니다. 이러한 인기 앱의 공식 버전에는 악성 코드가 숨겨져 있지 않습니다.
가장 무서운 xHelper 트로이 목마는 무엇이며 왜 그렇게 무서운 것으로 간주됩니까?
이미지: Tech HeraldThe Triada 맬웨어는 Android 기기에 수많은 다른 맬웨어를 설치하며 그 중 최악은 XHelper 트로이목마입니다. 기기에서 제거가 거의 불가능하며, 삭제 후 Android 기기를 재감염시키는 데 특화된 악성 코드입니다. 휴대폰을 공장 설정으로 재설정한 후에도 다시 나타날 수 있습니다.
xHelper 트로이 목마는 2019년 3월 Malwarebytes에서 처음 발견되었으며 곧 2019년 10월까지 45,000명을 감염시켰습니다. 이 악성 코드는 "웹 다이렉트"를 사용하여 사용자에게 타사 앱 스토어에서 악성 앱을 다운로드하도록 강요했습니다. xHelper 트로이 목마의 다음 단계는 장치의 시스템 파티션에 자신을 복사하여 자신을 보호하고 이를 제거하려는 시도에서 살아남는 것입니다. 쓰기 모드에서 시스템 파티션을 다시 탑재할 수 있으며 Libc.so 파일도 교체합니다. 시스템 라이브러리가 교체되면 무서운 트로이 목마가 마운트에 대한 사용자의 액세스를 차단하고 누구도 이를 제거할 수 없도록 할 수 있습니다.
안드로이드에서 xHelper 트로이 목마를 제거하는 방법 기기?
이 악성 코드를 제거하는 가장 안정적인 방법은 Android 시스템을 다시 플래시하는 것입니다. 이는 소프트웨어 정보를 모두 지우고 운영 체제 및 기타 시스템 도구의 새 복사본을 생성하므로 공장 초기화보다 더 강력합니다.
참고: Malware bytes는 Malware의 무료 버전이 다음과 같이 주장합니다. Android용 앱은 이 트로이 목마를 성공적으로 제거할 수 있습니다.
The Final Word On WhatsApp Mod는 제거가 불가능한 악성 코드로 Android 기기를 감염시킵니다.
보안 전문가는 다음을 사용할 것을 적극 권장합니다. 합법적인 App Store에서만 앱의 공식 버전을 다운로드할 수 있습니다. Triada와 같은 악성 코드는 경우에 따라 백도어를 제공하기 위해 저가형 전화기에 사전 설치됩니다. 악의적인 행위자는 이 백도어를 사용하여 장치에 대한 액세스 권한을 얻고 장치를 제어할 수 있는 권한도 획득함으로써 장치를 활용합니다. Smart Phone Cleaner와 같은 실시간 Android 최적화 앱은 기기를 보호하고 휴대전화를 항상 최적화된 상태로 유지하는 데 도움이 됩니다.
읽기: 0
