Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향Flash Player 앱으로 가장하여 유럽을 공격하는 FluBot 악성코드
작성일 2022-01-10 조회 79

Android malware

 

 

널리 분포된 FluBot 악성코드는 계속해서 진화하고 있으며, 새로운 캠페인을 통해 이 악성코드를 Flash Player로 배포하고 개발자들이 새로운 기능을 추가했다. FluBot은 전세계 많은 은행들을 대상으로 오버레이 로그인 양식을 표시함으로써 자격 증명을 훔치는 안드로이드 뱅킹 트로이목마이다.

 

스미싱(SMS 피싱) 유인에는 가짜 보안 업데이트, 가짜 어도비 플래시 플레이어, 음성 메일 메모, 소포 배달 알림 가장 등이 포함된다.

 

장치에 들어가면 FluBot은 온라인 뱅킹 자격 증명을 도용하고 SMS 메시지(및 일회용 암호)를 보내거나 가로채며 스크린샷을 캡처할 수 있다. 그 악성코드는 피해자의 장치를 사용하여 새로운 스미싱 메시지를 피해자의 모든 연락처로 보내기 때문에, 공격은 산불처럼 퍼진다.

 

 

FluBot spread process diagram

 

[그림 1. FluBot 악성코드 공격 흐름]

 

 

멀웨어헌터팀은 새로운 FluBot 캠페인은 수신자에게 자신의 기기에서 동영상을 업로드할 의도가 있는지를 묻는 SMS 문자를 사용하여 배포된다고 BleepingComputer에 말했다.

 

폴란드 수신자를 대상으로 한 이 캠페인의 SMS 텍스트의 예는 CSIRT KNF에 의해 공유되었다. 수신자가 포함된 링크를 클릭하면 안드로이드 기기에 FluBot 악성코드를 설치하는 가짜 Flash Player APK[VirusTotal]를 제공하는 페이지로 이동한다.

 

Android 사용자는 악성 프로그램으로부터 자신을 보호하기 위해 원격 사이트에 호스팅되는 APK의 앱을 설치하는 것을 항상 피해야 한다. 이러한 관행은 앱이 신뢰할 수 있는 위치에서만 설치되어야 하는 Adobe와 같은 잘 알려진 브랜드의 경우에 특히 해당된다.

 

가장 최근에 출시된 주요 릴리스는 2021년 12월 초 나온 5.0 버전인데 반해 5.2 버전은 불과 며칠 전에야 빛을 보게 됐다. 이번 출시로 DGA(도메인 생성 알고리즘) 시스템은 행위자들이 방해받지 않고 작동할 수 있도록 하는데 필수적이어서 악성코드 저자들의 많은 관심을 받았다. DGA는 많은 새로운 C2 도메인을 즉시 생성하므로 DNS 차단 목록과 같은 완화 조치가 효과적이지 않다.

 

최신 버전에서 FluBot의 DGA는 기존에 사용하던 3개 도메인이 아닌 30개의 최상위 도메인을 사용하며 공격자가 원격으로 시드를 변경할 수 있는 명령어도 갖추고 있다.

 

통신 측면에서 새로운 FluBot은 HTTPS를 통한 DNS 터널링을 통해 C2에 연결되지만 이전에는 직접 HTTPS 포트 443을 사용했다. 요약하면, FluBot은 이전 버전에서 사용된 어떤 명령어도 더 이상 사용하지 않고 새로운 명령어들로만 기능을 강화했다.

 

 

FluBot 악성코드로부터 안전할 수 있는 방법은 다음과 같다.

 

FluBot을 다운로드하기 위한 링크가 연락처 중 하나 또는 친구나 가족을 통해 기기에 도착한다. 이와 같이 URL이 포함된 특이한 SMS를 받고 클릭을 권유한다면 FluBot에서 생성된 메시지일 가능성이 높다.

 

마지막으로, APK 파일을 비정상적으로 설치하지 않도록 하고 Android 장치에서 Google Play Protect가 활성화되어 있는지 정기적으로 확인한 후 잘 알려진 공급업체의 모바일 보안 솔루션을 사용하는 것이 좋다.

 

 

 

 

 

출처

https://www.bleepingcomputer.com/news/security/flubot-malware-now-targets-europe-posing-as-flash-player-app/

첨부파일 첨부파일이 없습니다.
태그 FluBot