Мобилен зловреден софтуер FluHorse

Нова имейл фишинг кампания, насочена към източноазиатски региони, има за цел да разпространи нов вид зловреден софтуер за Android, известен като FluHorse. Този конкретен мобилен зловреден софтуер се възползва от рамката за разработка на софтуер Flutter, за да зарази устройства с Android.

Зловреден софтуер се разпространява чрез няколко опасни приложения за Android, които имитират легитимни приложения. Много от тези вредни елементи вече са достигнали над 1 000 000 инсталирания, което ги прави особено заплашителни. Когато потребителите изтеглят и инсталират тези приложения, те несъзнателно дават на зловреден софтуер достъп до своите идентификационни данни и кодове за двуфакторно удостоверяване (2FA).

Приложенията FluHorse са проектирани да изглеждат подобни или направо имитират популярни приложения в целевите региони, като ETC и VPBank Neo, които се използват широко в Тайван и Виетнам. Доказателствата показват, че тази дейност е активна най-малко от май 2022 г. Подробности за зловреден софтуер FluHorse Android и свързаната с него дейност бяха разкрити в доклад на Check Point.

FluHorse подмамва жертвите с тактики за фишинг

Схемата за фишинг, използвана във веригата за заразяване на FluHorse, е доста проста - нападателите примамват жертвите, като им изпращат измамни имейли, съдържащи връзки към специален уебсайт, който хоства опасни APK файлове. Тези уебсайтове съдържат и проверки, които проверяват жертвите, като доставят заплашителното приложение само ако низът на потребителския агент на браузъра на посетителя съвпада с този на Android. Фишинг имейлите са изпратени до редица високопоставени организации, включително служители на държавни агенции и големи индустриални компании.

След като приложението бъде инсталирано, злонамереният софтуер изисква разрешения за SMS и призовава потребителите да въведат своите идентификационни данни и информация за кредитна карта. След това тази информация се ексфилтрира към отдалечен сървър, докато жертвата е принудена да чака няколко минути.

За да влошат нещата, участниците в заплахата могат да злоупотребят с достъпа си до SMS съобщения, за да прихванат всички входящи 2FA кодове и да ги пренасочат към сървъра за командване и управление (C2, C&C) на операцията. Това позволява на нападателите да заобиколят мерките за сигурност, които разчитат на 2FA за защита на потребителските акаунти.

В допълнение към фишинг атаката е идентифицирано и приложение за запознанства. Беше наблюдавано пренасочване на китайски говорещи потребители към измамни целеви страници, предназначени да уловят информацията за техните кредитни карти. Това допълнително подчертава опасността, породена от тези атаки, и важността да останете бдителни и да вземете подходящи предпазни мерки, за да се защитите от кибер заплахи.

Зловреден софтуер FluHorse за Android е труден за откриване

Това, което е интересно за този конкретен злонамерен софтуер, е, че той се внедрява с помощта на Flutter, комплект за разработка на UI софтуер с отворен код, който позволява на разработчиците да създават междуплатформени приложения от една кодова база. Това е забележително развитие, тъй като участниците в заплахите често използват тактики като техники за избягване, обфускация и забавено изпълнение, за да избегнат откриване от виртуални среди и инструменти за анализ.

Използването на Flutter за създаване на зловреден софтуер обаче представлява ново ниво на усъвършенстване. Изследователите са стигнали до заключението, че разработчиците на зловреден софтуер не са отделили много време за програмиране, а вместо това са разчитали на вродените характеристики на платформата Flutter. Това им позволи да създадат опасно и до голяма степен неоткрито заплашително приложение.