분석 정보/모바일 분석 정보

운송 회사 앱으로 위장한 FluBot 악성 앱

알 수 없는 사용자 2021. 6. 8. 17:23

최근 DHL, FedEx 와 같은 유명 운송 회사의 앱으로 위장한 안드로이드 악성 앱 FluBot 이 기승을 부리고 있다. 유럽 국가를 중심으로 퍼져가는 이 정보 탈취형 악성 앱은 잠잠해지기는커녕, 지속적으로 버전 업하며 지원하는 언어를 추가하고 공격 대상 국가를 늘리고 있다.

 

[그림 1] DHL 앱으로 위장한 FluBot 앱

 

FluBot 을 실행하면 가장 먼저 사용자에게 접근성 서비스 권한을 요청한다. 접근성 서비스는 본래 사용자를 지원하기 위해 제공되는 향상된 기능이지만, FluBot 은 이를 악용하여 시스템을 모니터링하고 사용자 동의 없이 버튼을 클릭하는 행위에 사용할 수 있다.

 

[그림 2] 접근성 서비스 권한 요청

 

이후 접근성 서비스 권한을 악용하여 기본 SMS 앱 설정 화면을 출력하고, 사용자 동의 없이 FluBot 을 기본 SMS 앱으로 설정한다. 이외에도 사용자가 접근성 서비스 권한을 비활성화하거나, FluBot 을 삭제하려고 시도하면 강제로 홈 화면으로 이동 시켜 방해한다.

 

FluBot 의 주된 악성 기능은 C&C 서버와 통신하며 명령을 받아 수행하고 정보를 탈취하는 것이다. C&C 서버 주소는 고정된 값을 가지지 않으며 현재 실행 연도와 월을 기반으로 생성된다.

 

[그림 3] 연월 기반으로 C&C 도메인 주소 시드 생성 코드

 

[그림 4] C&C 서버와 암호화 통신

 

C&C 서버와 통신에 성공하면 서버로부터 아래와 같은 명령어를 수신받고 악성 행위를 실행한다.

 

[표 1] FluBot 명령어 및 기능

 

위 명령어 중 "RELOAD_INJECTS" 명령을 받으면 단말기에 설치된 앱 정보를 C&C 서버로 송신하고 공격 대상 앱 정보와 그에 대응하는 가짜 웹뷰 정보를 받는다. 이후 사용자가 공격 대상 앱을 실행하면 정상화면 대신 가짜 웹뷰를 출력하는 오버레이 공격을 실행한다. 가짜 웹뷰는 사용자에게 민감한 정보를 요구한 후 입력받은 정보를 C&C 서버로 송신한다.

 

[그림 5] 단말기에 설치된 앱 정보 수집 코드

 

아직 한국어를 지원하는 FluBot 샘플은 발견되지 않았으나, 활발하게 버전 업하면서 공격 대상 국가를 추가하고 있는 만큼 주의할 필요가 있다. 악성 앱으로 인한 피해를 막기 위해서는 출처가 불분명하거나 과도한 권한을 요구하는 앱 설치를 피하고, 주기적으로 백신을 최신 버전으로 업데이트해야 한다.