FluHorse Mobile Malware

En ny e-mail-phishing-kampagne målrettet mod østasiatiske regioner har til formål at distribuere en ny stamme af Android-malware kendt som FluHorse. Denne særlige mobile malware udnytter Flutter-softwareudviklingsrammerne til at inficere Android-enheder.

Malwaren spredte sig gennem flere usikre Android-applikationer, der efterligner legitime applikationer. Mange af disse skadelige genstande har allerede nået over 1.000.000 installationer, hvilket gør dem særligt truende. Når brugere downloader og installerer disse applikationer, giver de ubevidst malware adgang til deres legitimationsoplysninger og 2FA-koder (To-Factor Authentication).

FluHorse-applikationerne er designet til at fremstå lignende eller direkte efterligne populære apps i de målrettede regioner, såsom ETC og VPBank Neo, som er meget udbredt i Taiwan og Vietnam. Beviser viser, at denne aktivitet har været aktiv siden mindst maj 2022. Detaljer om FluHorse Android malware og dens tilknyttede aktivitet blev afsløret i en rapport fra Check Point.

FluHorse tricker ofre med phishing-taktik

Phishing-skemaet, der bruges i FluHorse-infektionskæden, er ret ligetil - angribere lokker ofre ved at sende dem svindel-e-mails, der indeholder links til et dedikeret websted, der er vært for usikre APK-filer. Disse websteder indeholder også kontroller, der viser ofre, kun leverer den truende applikation, hvis den besøgendes browser User-Agent-streng matcher Android. Phishing-e-mails er blevet sendt til en række højtprofilerede organisationer, herunder ansatte i offentlige myndigheder og store industrivirksomheder.

Når applikationen er installeret, anmoder malwaren om SMS-tilladelser og opfordrer brugerne til at indtaste deres legitimationsoplysninger og kreditkortoplysninger. Disse oplysninger eksfiltreres derefter til en ekstern server, mens offeret er tvunget til at vente i flere minutter.

For at gøre ondt værre kan trusselsaktørerne misbruge deres adgang til SMS-beskeder til at opsnappe alle indkommende 2FA-koder og omdirigere dem til operationens Command-and-Control-server (C2, C&C). Dette giver angriberne mulighed for at omgå sikkerhedsforanstaltninger, der er afhængige af 2FA for at beskytte brugerkonti.

Ud over phishing-angrebet blev der også identificeret en dating-app. Det blev observeret at omdirigere kinesisktalende brugere til useriøse landingssider designet til at fange deres kreditkortoplysninger. Dette understreger yderligere faren ved disse angreb og vigtigheden af at forblive på vagt og tage passende forholdsregler for at beskytte sig selv mod cybertrusler.

FluHorse Android Malware er vanskelig at opdage

Det interessante ved denne særlige malware er, at den er implementeret ved hjælp af Flutter, et open source UI-softwareudviklingskit, der gør det muligt for udviklere at skabe applikationer på tværs af platforme fra en enkelt kodebase. Dette er en bemærkelsesværdig udvikling, da trusselsaktører ofte bruger taktikker såsom unddragelsesteknikker, sløring og forsinket eksekvering for at undgå registrering af virtuelle miljøer og analyseværktøjer.

Men at bruge Flutter til at skabe malware repræsenterer et nyt niveau af sofistikering. Forskerne har konkluderet, at malware-udviklerne ikke brugte meget tid på programmering, men i stedet stolede på Flutter-platformens medfødte egenskaber. Dette gjorde det muligt for dem at oprette en farlig og stort set uopdaget truende applikation.