저렴한 휴대폰에는 암호화폐를 훔치는 가짜 왓츠앱이 함께 제공됩니다

저렴한 안드로이드 폰에 사전 설치된 가짜 워츠앱이 지갑 주소를 바꾸고 사용자 데이터를 스캔하여 암호화폐를 훔치고 있습니다.

보안 연구원들이 암호화폐를 훔치도록 설계된 가짜 앱들이 미리 설치된 저렴한 안드로이드 스마트폰과 관련된 위험한 사기를 발견했습니다. 러시아 기반의 안티바이러스 회사 Doctor Web에 따르면, 이 악성 소프트웨어 캠페인은 처음으로 2024년 중반에 보고되었고 그 이후로 크게 확장되었습니다.

공격자들은 “S23 Ultra”나 “Note 13 Pro” 같은 유명 모델과 비슷하게 보이는 저렴한 스마트폰을 구매하는 사용자들을 대상으로 하고 있습니다. 이런 휴대폰들은 주로 안드로이드 14를 실행한다고 주장하지만, 실제로는 수정된 안드로이드 12를 실행하며, 시스템 사양은 가짜입니다.

이러한 휴대폰에는 비밀리에 설치된 워츠앱의 트로이목마 버전이 사기의 중심에 있습니다. 해커들은 LSPatch라는 도구를 사용하여 앱에 숨겨진 모듈을 추가했습니다. 이 모듈이 활성화되면, “클리핑”이라고 알려진 방법으로 조용히 복사된 암호화폐 지갑 주소를 가로채고 변경합니다.

이 멀웨어는 발신자와 수신자 모두를 속입니다. Doctor Web은 “발신 메시지의 경우, 침해당한 장치는 피해자의 지갑 주소를 올바르게 표시하지만, 수신자는…사기꾼들의 지갑 주소가 표시된다”고 설명했습니다.

이 버전의 WhatsApp은 모든 사용자 메시지를 해커들에게 보내고, 복구 구문이 포함된 이미지를 찾기 위해 장치를 스캔합니다. 이 복구 구문은 대개 암호화폐 지갑에 접근하는 데 사용되며, 많은 사용자들이 이러한 구문의 스크린샷을 찍습니다. 이를 발견하면 해커들은 완전히 접근할 수 있습니다.

닥터 웹은 이 트로이목마를 ‘시바이’라고 명명했습니다. 보고에 따르면 텔레그램, 트러스트 월렛, 매스월렛을 포함한 약 40개의 앱에 영향을 미친다고 합니다. 이 캠페인은 60개 이상의 서버와 30개의 도메인을 사용하고 있으며, 일부 해커의 지갑에는 훔친 암호화폐로 100만 달러 이상이 입금되었다고 합니다.