최근 DHL, FedEx 와 같은 유명 운송 회사의 앱으로 위장한 안드로이드 악성 앱 FluBot 이 기승을 부리고 있다. 유럽 국가를 중심으로 퍼져가는 이 정보 탈취형 악성 앱은 잠잠해지기는커녕, 지속적으로 버전 업하며 지원하는 언어를 추가하고 공격 대상 국가를 늘리고 있다.
FluBot 을 실행하면 가장 먼저 사용자에게 접근성 서비스 권한을 요청한다. 접근성 서비스는 본래 사용자를 지원하기 위해 제공되는 향상된 기능이지만, FluBot 은 이를 악용하여 시스템을 모니터링하고 사용자 동의 없이 버튼을 클릭하는 행위에 사용할 수 있다.
이후 접근성 서비스 권한을 악용하여 기본 SMS 앱 설정 화면을 출력하고, 사용자 동의 없이 FluBot 을 기본 SMS 앱으로 설정한다. 이외에도 사용자가 접근성 서비스 권한을 비활성화하거나, FluBot 을 삭제하려고 시도하면 강제로 홈 화면으로 이동 시켜 방해한다.
FluBot 의 주된 악성 기능은 C&C 서버와 통신하며 명령을 받아 수행하고 정보를 탈취하는 것이다. C&C 서버 주소는 고정된 값을 가지지 않으며 현재 실행 연도와 월을 기반으로 생성된다.
C&C 서버와 통신에 성공하면 서버로부터 아래와 같은 명령어를 수신받고 악성 행위를 실행한다.
위 명령어 중 "RELOAD_INJECTS" 명령을 받으면 단말기에 설치된 앱 정보를 C&C 서버로 송신하고 공격 대상 앱 정보와 그에 대응하는 가짜 웹뷰 정보를 받는다. 이후 사용자가 공격 대상 앱을 실행하면 정상화면 대신 가짜 웹뷰를 출력하는 오버레이 공격을 실행한다. 가짜 웹뷰는 사용자에게 민감한 정보를 요구한 후 입력받은 정보를 C&C 서버로 송신한다.
아직 한국어를 지원하는 FluBot 샘플은 발견되지 않았으나, 활발하게 버전 업하면서 공격 대상 국가를 추가하고 있는 만큼 주의할 필요가 있다. 악성 앱으로 인한 피해를 막기 위해서는 출처가 불분명하거나 과도한 권한을 요구하는 앱 설치를 피하고, 주기적으로 백신을 최신 버전으로 업데이트해야 한다.
'분석 정보 > 모바일 분석 정보' 카테고리의 다른 글
| COVID-19 백신 무료 등록 사칭 악성 앱 주의 (0) | 2021.06.18 |
|---|---|
| 국내 안드로이드 사용자 노린 MoqHao 피싱 (0) | 2021.06.10 |
| 이슬람 코인 거래소 사칭 앱 (0) | 2021.06.03 |
| KISA 사칭한 악성 앱 주의 (0) | 2021.06.02 |
| 사용자 정보를 탈취하는 TeaBot 악성 앱 주의 (0) | 2021.05.31 |