FluHorse

Fortinet 에 따르면, 최근 Flutter 오픈 소스 SDK를 사용한 악성 애플리케이션이 다량 발견된 것으로 전해진다. Flutter는 구글에서 제공하는 오픈소스 UI 개발 키트로, 이를 통해 제작된 애플리케이션은 리버싱이 어렵다는 점을 악용한 것으로 보여진다. 이러한 악성코드는 지난 6월에 처음 발견되었으며, 최근까지 지속적으로 나타나고 있다.

 

아래의 그림은 ‘BadgeProvider’라는 이름으로 유포된 악성코드의 실행화면으로, 애플리케이션의 이름으로 유추할 수 있는 동작보다 과도한 권한을 요구한다.

 

[그림 1] (좌) 앱 정보, (우) 권한 요구 화면

 

위의 권한을 획득하면, 단말기의 모델명, 전화번호, 네트워크 관련 정보 및 위치 등의 정보를 수집하여 원격지로 전송한다. 이때 공격자가 지정한 uid, password 파라미터를 함께 전송하여 공격자임을 인증하도록 한다.

[그림 2] 원격지 전송 코드

 

그리고, 원격지에서 ‘ManifestFile.json’ 파일 다운로드하여, 추가적인 악성 동작을 수행한다.

 

[그림 3] 다운로드 코드

 

현 분석시점에는 원격지와 연결되지 않아 다운로드되는 파일 확인이 불가하지만, 아래의 코드를 통해 임의의 파일을 로드하는 것을 볼 수 있다. 다운로드되는 파일에는 Name, Type 등의 정보를 저장하고 있으며 이를 토대로 지정된 파일을 로드한다.  

 

[그림 4] 파일 로드 실행 코드

 

아래의 코드를 보면, 로드되는 파일의 특정 클래스를 호출하는 것을 볼 수 있다. 클래스의 이름으로 보아, 단말기에 저장된 정보를 탈취하는 것으로 추정할 수 있다. 이 외에도 command 명령을 통한 추가 악성 동작을 수행한다.

[그림 5] 클래스 호출 및 실행 코드

 

FluHorse 악성코드는 복잡한 페이로드를 통해 악성 동작이 이루어지며, 분석이 어렵도록 지속적으로 진화하고 있어 큰 주의가 필요하다. 이와 같은 피해를 막기 위해서는 출처가 불분명한 앱의 설치를 지양하고 주기적으로 백신을 최신 버전으로 업데이트하는 습관이 필요하다.