FluHorse 모바일 악성코드

동아시아 지역을 대상으로 하는 새로운 이메일 피싱 캠페인은 FluHorse로 알려진 새로운 변종의 Android 맬웨어를 배포하는 것을 목표로 합니다. 이 특정 모바일 악성코드는 Flutter 소프트웨어 개발 프레임워크를 활용하여 Android 기기를 감염시킵니다.

맬웨어는 합법적인 애플리케이션을 모방하는 여러 안전하지 않은 Android 애플리케이션을 통해 확산됩니다. 이러한 유해한 항목 중 다수는 이미 1,000,000회 이상의 설치에 도달하여 특히 위협적입니다. 사용자가 이러한 애플리케이션을 다운로드하고 설치하면 자신도 모르게 맬웨어가 자신의 자격 증명 및 2FA(이중 인증) 코드에 액세스할 수 있습니다.

FluHorse 애플리케이션은 대만과 베트남에서 널리 사용되는 ETC 및 VPBank Neo와 같이 대상 지역에서 인기 있는 앱과 유사하거나 완전히 모방하도록 설계되었습니다. 증거에 따르면 이 활동은 적어도 2022년 5월부터 활성화되었습니다. FluHorse Android 맬웨어 및 관련 활동에 대한 세부 정보는 Check Point의 보고서에서 공개되었습니다.

피싱 전술로 피해자를 속이는 FluHorse

FluHorse의 감염 체인에서 사용되는 피싱 수법은 매우 간단합니다. 공격자는 안전하지 않은 APK 파일을 호스팅하는 전용 웹사이트에 대한 링크가 포함된 사기 이메일을 보내 피해자를 유인합니다. 이러한 웹사이트에는 방문자의 브라우저 사용자 에이전트 문자열이 Android의 문자열과 일치하는 경우에만 위협적인 애플리케이션을 제공하는 피해자를 차단하는 검사도 포함되어 있습니다. 피싱 이메일은 정부 기관 및 대기업 직원을 포함하여 다양한 유명 조직으로 전송되었습니다.

애플리케이션이 설치되면 악성코드는 SMS 권한을 요청하고 사용자에게 자격 증명과 신용 카드 정보를 입력하도록 촉구합니다. 그런 다음 이 정보는 피해자가 몇 분 동안 기다려야 하는 동안 원격 서버로 유출됩니다.

설상가상으로 위협 행위자는 SMS 메시지에 대한 액세스 권한을 남용하여 들어오는 모든 2FA 코드를 가로채 작업의 명령 및 제어(C2, C&C) 서버로 리디렉션할 수 있습니다. 이를 통해 공격자는 사용자 계정을 보호하기 위해 2FA에 의존하는 보안 조치를 우회할 수 있습니다.

피싱 공격 외에도 데이팅 앱도 확인됐다. 중국어 사용자를 신용 카드 정보를 캡처하도록 설계된 악성 랜딩 페이지로 리디렉션하는 것이 관찰되었습니다. 이는 이러한 공격으로 인한 위험과 사이버 위협으로부터 자신을 보호하기 위해 경계를 유지하고 적절한 예방 조치를 취하는 것의 중요성을 더욱 강조합니다.

FluHorse Android 맬웨어는 탐지하기 어렵습니다.

이 특정 맬웨어의 흥미로운 점은 개발자가 단일 코드 베이스에서 크로스 플랫폼 애플리케이션을 만들 수 있게 해주는 오픈 소스 UI 소프트웨어 개발 키트인 Flutter를 사용하여 구현된다는 것입니다. 이는 위협 활동가가 가상 환경 및 분석 도구에 의한 탐지를 피하기 위해 회피 기술, 난독화 및 실행 지연과 같은 전술을 자주 사용하기 때문에 주목할 만한 발전입니다.

그러나 Flutter를 사용하여 멀웨어를 만드는 것은 새로운 수준의 정교함을 나타냅니다. 연구원들은 맬웨어 개발자가 프로그래밍에 많은 시간을 소비하지 않고 대신 Flutter 플랫폼의 고유한 특성에 의존했다고 결론지었습니다. 이를 통해 그들은 위험하고 거의 감지되지 않는 위협적인 애플리케이션을 만들 수 있었습니다.