Mobilní malware FluHorse

Nová e-mailová phishingová kampaň zacílená na regiony východní Asie má za cíl distribuovat nový druh malwaru pro Android známý jako FluHorse. Tento konkrétní mobilní malware využívá vývojový rámec softwaru Flutter k infikování zařízení Android.

Malware se rozšířil prostřednictvím několika nebezpečných aplikací pro Android, které napodobují legitimní aplikace. Mnoho z těchto škodlivých položek již dosáhlo více než 1 000 000 instalací, což je činí obzvláště hrozivými. Když si uživatelé stahují a instalují tyto aplikace, nevědomky dávají malwaru přístup ke svým přihlašovacím údajům a kódům dvoufaktorové autentizace (2FA).

Aplikace FluHorse jsou navrženy tak, aby vypadaly podobně nebo přímo napodobovaly oblíbené aplikace v cílových regionech, jako jsou ETC a VPBank Neo, které jsou široce používány na Tchaj-wanu a Vietnamu. Důkazy ukazují, že tato aktivita je aktivní minimálně od května 2022. Podrobnosti o malwaru FluHorse Android a související aktivitě odhalila zpráva společnosti Check Point.

FluHorse oklame oběti taktikou phishingu

Schéma phishingu používané v infekčním řetězci FluHorse je docela jednoduché – útočníci lákají oběti tím, že jim posílají podvodné e-maily obsahující odkazy na vyhrazenou webovou stránku, která hostí nebezpečné soubory APK. Tyto webové stránky také obsahují kontroly, které prověřují oběti a doručují výhružnou aplikaci pouze v případě, že řetězec User-Agent návštěvníka odpovídá řetězci Androidu. Phishingové e-maily byly zaslány řadě významných organizací, včetně zaměstnanců vládních agentur a velkých průmyslových společností.

Jakmile je aplikace nainstalována, malware požaduje povolení SMS a vyzývá uživatele, aby zadali své přihlašovací údaje a informace o kreditní kartě. Tyto informace jsou poté exfiltrovány na vzdálený server, zatímco oběť je nucena několik minut čekat.

Aby toho nebylo málo, aktéři hrozeb mohou zneužít svůj přístup k SMS zprávám k zachycení všech příchozích kódů 2FA a přesměrovat je na server Command-and-Control (C2, C&C) operace. To umožňuje útočníkům obejít bezpečnostní opatření, která při ochraně uživatelských účtů spoléhají na 2FA.

Kromě phishingového útoku byla identifikována také seznamovací aplikace. Bylo pozorováno přesměrování čínsky mluvících uživatelů na podvodné vstupní stránky určené k zachycení informací o jejich kreditních kartách. To dále zdůrazňuje nebezpečí, které tyto útoky představují, a důležitost zachování ostražitosti a přijetí vhodných opatření k ochraně před kybernetickými hrozbami.

Malware FluHorse Android je obtížné zjistit

Na tomto konkrétním malwaru je zajímavé, že je implementován pomocí Flutter, open-source sady pro vývoj softwaru uživatelského rozhraní, která umožňuje vývojářům vytvářet aplikace pro různé platformy z jediné kódové základny. To je pozoruhodný vývoj, protože aktéři hrozeb často používají taktiky, jako jsou únikové techniky, mlžení a zpožděné provádění, aby se vyhnuli detekci pomocí virtuálních prostředí a analytických nástrojů.

Použití Flutter k vytvoření malwaru však představuje novou úroveň sofistikovanosti. Výzkumníci došli k závěru, že vývojáři malwaru netrávili mnoho času programováním, ale spoléhali se na vrozené vlastnosti platformy Flutter. To jim umožnilo vytvořit nebezpečnou a do značné míry neodhalenou ohrožující aplikaci.