표면적으로 보면 welcome chat은 아랍 지역의 채팅 소프트웨어이지만 실제로는 강력한 스파이웨어라고할 수 있다. 이 어플리케이션은 사용자의 주소록, 통화 기록, SMS, 파일, 위치 및 기타 개인 정보를 탈취해 업로드하고 사용자의 전화 상태, 통화 기록, SMS 등을 모니터링한다.

웰컴 스파이웨어는 주로 웹사이트를 통해 유포되며 앱 스토어에서는 발견되지 않았다.

Welcome Chat 스파이웨어 분석 보고서
웰컴 챗 공식 홈페이지

페이지에 구글 플레이 아이콘이 있지만 이는 그저 다운로드 아이콘일 뿐이다.

Welcome Chat 스파이웨어 분석 보고서
다운로드 아이콘
  1. 샘플 실행 프로세스

이 어플리케이션은 사용자의 개인 데이터를 도용하는 데 필요한 민감한 권한을 요청한다. 사용자가 권한 부여를 거부하면 어플리케이션은 종료된다. 이후 5분 단위로 서버에 연결하고 서버에서 원격 제어 명령을 받아 사용자의 휴대전화 개인 정보를 탈취하는 작업을 시작한다.

Welcome Chat 스파이웨어 분석 보고서
작동 프로세스
  1. 샘플 실행 프로세스

이 어플리케이션은 사용자의 개인 데이터를 도용하는 데 필요한 민감한 권한을 요청한다. 사용자가 권한 부여를 거부하면 어플리케이션은 종료된다. 이후 5분 단위로 서버에 연결하고 서버에서 원격 제어 명령을 받아 사용자의 휴대전화 개인 정보를 탈취하는 작업을 시작한다.

2. 기술 원리

어플리케이션이 시작되면 모든 접근 권한을 부여해야 하는데, 부여되지 않으면 어플리케이션은 종료된다. 이로 인해 사용자는 웰컴 챗을 의심하지 않을 수 있다. 하지만 어플리케이션이 많은 수의 중요한 권한을 요청하는 경우 사용자는 주의를 기울여야 한다.

Welcome Chat 스파이웨어 분석 보고서
시작 페이지

[출처 : welivesecurity / 8.21.]