Programari maliciós mòbil FluHorse
Una nova campanya de pesca de correu electrònic dirigida a les regions d'Àsia oriental té com a objectiu distribuir una nova varietat de programari maliciós per a Android coneguda com FluHorse. Aquest programari maliciós mòbil en particular aprofita el marc de desenvolupament de programari Flutter per infectar dispositius Android.
El programari maliciós es va estendre a través de diverses aplicacions d'Android insegures que imiten aplicacions legítimes. Molts d'aquests elements nocius ja han arribat a més d'1.000.000 d'instal·lacions, cosa que els fa especialment amenaçadors. Quan els usuaris descarreguen i instal·len aquestes aplicacions, sense saber-ho, donen accés al programari maliciós a les seves credencials i als codis d'autenticació de dos factors (2FA).
Les aplicacions FluHorse estan dissenyades per semblar similars o imitar directament aplicacions populars a les regions objectiu, com ETC i VPBank Neo, que s'utilitzen àmpliament a Taiwan i Vietnam. L'evidència mostra que aquesta activitat ha estat activa almenys des del maig de 2022. Els detalls sobre el programari maliciós per a Android FluHorse i la seva activitat associada es van revelar en un informe de Check Point.
FluHorse enganya les víctimes amb tàctiques de pesca
L'esquema de pesca utilitzat a la cadena d'infecció de FluHorse és bastant senzill: els atacants atrauen les víctimes enviant-los correus electrònics d'estafa que contenen enllaços a un lloc web dedicat que allotja fitxers APK no segurs. Aquests llocs web també contenen comprovacions que detecten les víctimes i només ofereixen l'aplicació amenaçadora si la cadena User-Agent del navegador del visitant coincideix amb la d'Android. Els correus electrònics de pesca s'han enviat a diverses organitzacions d'alt perfil, inclosos empleats d'agències governamentals i grans empreses industrials.
Un cop instal·lada l'aplicació, el programari maliciós demana permisos per SMS i insta els usuaris a introduir les seves credencials i la informació de la targeta de crèdit. A continuació, aquesta informació s'exfiltra a un servidor remot mentre la víctima es veu obligada a esperar uns quants minuts.
Per empitjorar les coses, els actors de l'amenaça poden abusar del seu accés als missatges SMS per interceptar tots els codis 2FA entrants i redirigir-los al servidor de comandament i control (C2, C&C) de l'operació. Això permet als atacants evitar les mesures de seguretat que es basen en 2FA per protegir els comptes d'usuari.
A més de l'atac de pesca, també es va identificar una aplicació de cites. Es va observar redirigint usuaris de parla xinès a pàgines de destinació canalla dissenyades per capturar la informació de la seva targeta de crèdit. Això posa de manifest encara més el perill que suposen aquests atacs i la importància de mantenir-se vigilant i prendre les precaucions adequades per protegir-se de les amenaces cibernètiques.
El programari maliciós d'Android FluHorse és difícil de detectar
El que és interessant d'aquest programari maliciós en particular és que s'implementa mitjançant Flutter, un kit de desenvolupament de programari d'interfície d'usuari de codi obert que permet als desenvolupadors crear aplicacions multiplataforma des d'una única base de codi. Aquest és un desenvolupament destacable, ja que els actors d'amenaça sovint utilitzen tàctiques com ara tècniques d'evasió, ofuscació i execució retardada per evitar la detecció d'entorns virtuals i eines d'anàlisi.
Tanmateix, utilitzar Flutter per crear programari maliciós representa un nou nivell de sofisticació. Els investigadors han conclòs que els desenvolupadors de programari maliciós no van dedicar gaire temps a la programació, sinó que es van basar en les característiques innates de la plataforma Flutter. Això els va permetre crear una aplicació amenaçadora perillosa i en gran part no detectada.
