FluHorse Mobile البرامج الضارة

تهدف حملة تصيد احتيالي جديدة عبر البريد الإلكتروني تستهدف مناطق شرق آسيا إلى توزيع سلالة جديدة من برامج Android الضارة المعروفة باسم FluHorse. تستفيد هذه البرامج الضارة الخاصة بالأجهزة المحمولة من إطار عمل تطوير برنامج Flutter لإصابة أجهزة Android.

انتشرت البرامج الضارة من خلال العديد من تطبيقات Android غير الآمنة التي تحاكي التطبيقات المشروعة. لقد وصل العديد من هذه العناصر الضارة بالفعل إلى أكثر من مليون عملية تثبيت ، مما يجعلها خطيرة بشكل خاص. عندما يقوم المستخدمون بتنزيل هذه التطبيقات وتثبيتها ، فإنهم يمنحون دون علم وصول البرامج الضارة إلى بيانات اعتمادهم وأكواد المصادقة الثنائية (2FA).

تم تصميم تطبيقات FluHorse لتظهر بشكل متشابه أو تقليد التطبيقات الشائعة في المناطق المستهدفة ، مثل ETC و VPBank Neo ، والتي تستخدم على نطاق واسع في تايوان وفيتنام. تُظهر الأدلة أن هذا النشاط كان نشطًا منذ مايو 2022 على الأقل. تم الكشف عن تفاصيل حول برنامج FluHorse Android الضار والنشاط المرتبط به في تقرير من Check Point.

ضحايا FluHorse Tricks مع تكتيكات التصيد

يعد مخطط التصيد الاحتيالي المستخدم في سلسلة العدوى في FluHorse واضحًا تمامًا - حيث يغري المهاجمون الضحايا عن طريق إرسال رسائل بريد إلكتروني احتيالية تحتوي على روابط إلى موقع ويب مخصص يستضيف ملفات APK غير آمنة. تحتوي مواقع الويب هذه أيضًا على عمليات تحقق من ضحايا الشاشة ، ولا تقدم التطبيق المهدِّد إلا إذا كانت سلسلة User-Agent في متصفح الزائر تتطابق مع تلك الموجودة في Android. تم إرسال رسائل البريد الإلكتروني المخادعة إلى مجموعة من المنظمات البارزة ، بما في ذلك موظفي الوكالات الحكومية والشركات الصناعية الكبرى.

بمجرد تثبيت التطبيق ، تطلب البرامج الضارة أذونات الرسائل القصيرة وتحث المستخدمين على إدخال بيانات الاعتماد ومعلومات بطاقة الائتمان الخاصة بهم. ثم يتم نقل هذه المعلومات إلى خادم بعيد بينما تضطر الضحية إلى الانتظار لعدة دقائق.

لجعل الأمور أسوأ ، يمكن للجهات الفاعلة في التهديد إساءة استخدام وصولها إلى رسائل SMS لاعتراض جميع رموز 2FA الواردة وإعادة توجيهها إلى خادم القيادة والتحكم (C2 ، C&C) للعملية. يسمح هذا للمهاجمين بتجاوز الإجراءات الأمنية التي تعتمد على المصادقة الثنائية لحماية حسابات المستخدمين.

بالإضافة إلى هجوم التصيد الاحتيالي ، تم تحديد تطبيق مواعدة أيضًا. لوحظ إعادة توجيه المستخدمين الناطقين باللغة الصينية إلى صفحات مقصودة شريرة مصممة لالتقاط معلومات بطاقات الائتمان الخاصة بهم. وهذا يسلط الضوء كذلك على الخطر الذي تشكله هذه الهجمات وأهمية توخي اليقظة واتخاذ الاحتياطات المناسبة لحماية نفسه من التهديدات الإلكترونية.

يصعب اكتشاف البرامج الضارة لـ FluHorse Android

الأمر المثير للاهتمام في هذا البرنامج الضار بالتحديد هو أنه يتم تنفيذه باستخدام Flutter ، وهي مجموعة تطوير برامج واجهة مستخدم مفتوحة المصدر تتيح للمطورين إنشاء تطبيقات عبر الأنظمة الأساسية من قاعدة بيانات واحدة. يعد هذا تطورًا جديرًا بالملاحظة حيث تستخدم الجهات الفاعلة في التهديد غالبًا تكتيكات مثل تقنيات التهرب والتعتيم والتنفيذ المتأخر لتجنب الاكتشاف بواسطة البيئات الافتراضية وأدوات التحليل.

ومع ذلك ، فإن استخدام Flutter لإنشاء برامج ضارة يمثل مستوى جديدًا من التطور. خلص الباحثون إلى أن مطوري البرامج الضارة لم يقضوا الكثير من الوقت في البرمجة ولكنهم اعتمدوا بدلاً من ذلك على الخصائص الفطرية لمنصة Flutter. سمح لهم ذلك بإنشاء تطبيق تهديد خطير وغير مكتشف إلى حد كبير.