Κακόβουλο λογισμικό FluHorse Mobile

Μια νέα καμπάνια ηλεκτρονικού "ψαρέματος" που στοχεύει τις περιοχές της Ανατολικής Ασίας στοχεύει στη διανομή ενός νέου είδους κακόβουλου λογισμικού Android, γνωστό ως FluHorse. Το συγκεκριμένο κακόβουλο λογισμικό για κινητά εκμεταλλεύεται το πλαίσιο ανάπτυξης λογισμικού Flutter για να μολύνει συσκευές Android.

Το κακόβουλο λογισμικό εξαπλώθηκε μέσω πολλών μη ασφαλών εφαρμογών Android που μιμούνται νόμιμες εφαρμογές. Πολλά από αυτά τα επιβλαβή αντικείμενα έχουν ήδη φτάσει σε πάνω από 1.000.000 εγκαταστάσεις, γεγονός που τα καθιστά ιδιαίτερα απειλητικά. Όταν οι χρήστες πραγματοποιούν λήψη και εγκατάσταση αυτών των εφαρμογών, δίνουν εν αγνοία τους πρόσβαση στο κακόβουλο λογισμικό στα διαπιστευτήριά τους και στους κωδικούς ελέγχου ταυτότητας δύο παραγόντων (2FA).

Οι εφαρμογές FluHorse έχουν σχεδιαστεί για να εμφανίζονται παρόμοιες ή να μιμούνται εντελώς δημοφιλείς εφαρμογές στις στοχευμένες περιοχές, όπως το ETC και το VPBank Neo, που χρησιμοποιούνται ευρέως στην Ταϊβάν και το Βιετνάμ. Τα στοιχεία δείχνουν ότι αυτή η δραστηριότητα ήταν ενεργή τουλάχιστον από τον Μάιο του 2022. Λεπτομέρειες σχετικά με το κακόβουλο λογισμικό FluHorse Android και τη σχετική δραστηριότητά του αποκαλύφθηκαν σε μια αναφορά του Check Point.

Το FluHorse ξεγελάει τα θύματα με τακτικές phishing

Το σύστημα phishing που χρησιμοποιείται στην αλυσίδα μόλυνσης του FluHorse είναι αρκετά απλό - οι εισβολείς δελεάζουν τα θύματα στέλνοντάς τους μηνύματα ηλεκτρονικού ταχυδρομείου απάτης που περιέχουν συνδέσμους σε έναν αποκλειστικό ιστότοπο που φιλοξενεί μη ασφαλή αρχεία APK. Αυτοί οι ιστότοποι περιέχουν επίσης ελέγχους που προβάλλουν τα θύματα, παραδίδοντας την απειλητική εφαρμογή μόνο εάν η συμβολοσειρά User-Agent του προγράμματος περιήγησης του επισκέπτη ταιριάζει με αυτή του Android. Τα μηνύματα ηλεκτρονικού ψαρέματος έχουν σταλεί σε μια σειρά από οργανισμούς υψηλού προφίλ, συμπεριλαμβανομένων υπαλλήλων κυβερνητικών υπηρεσιών και μεγάλων βιομηχανικών εταιρειών.

Μόλις εγκατασταθεί η εφαρμογή, το κακόβουλο λογισμικό ζητά άδειες SMS και προτρέπει τους χρήστες να εισαγάγουν τα διαπιστευτήριά τους και τα στοιχεία της πιστωτικής τους κάρτας. Αυτές οι πληροφορίες στη συνέχεια διοχετεύονται σε έναν απομακρυσμένο διακομιστή ενώ το θύμα αναγκάζεται να περιμένει για αρκετά λεπτά.

Για να γίνουν τα πράγματα χειρότερα, οι φορείς απειλών μπορούν να κάνουν κατάχρηση της πρόσβασής τους σε μηνύματα SMS για να υποκλέψουν όλους τους εισερχόμενους κωδικούς 2FA και να τους ανακατευθύνουν στον διακομιστή Command-and-Control (C2, C&C) της λειτουργίας. Αυτό επιτρέπει στους εισβολείς να παρακάμπτουν τα μέτρα ασφαλείας που βασίζονται στο 2FA για την προστασία των λογαριασμών χρηστών.

Εκτός από την επίθεση phishing, εντοπίστηκε και μια εφαρμογή γνωριμιών. Παρατηρήθηκε να ανακατευθύνει τους κινεζόφωνους χρήστες σε αδίστακτες σελίδες προορισμού που έχουν σχεδιαστεί για να καταγράφουν τα στοιχεία της πιστωτικής τους κάρτας. Αυτό υπογραμμίζει περαιτέρω τον κίνδυνο που ενέχουν αυτές οι επιθέσεις και τη σημασία της παραμονής σε επαγρύπνηση και της λήψης κατάλληλων προφυλάξεων για την προστασία από τις απειλές στον κυβερνοχώρο.

Το κακόβουλο λογισμικό FluHorse Android είναι δύσκολο να εντοπιστεί

Αυτό που είναι ενδιαφέρον για αυτό το συγκεκριμένο κακόβουλο λογισμικό είναι ότι υλοποιείται χρησιμοποιώντας το Flutter, ένα κιτ ανάπτυξης λογισμικού UI ανοιχτού κώδικα που επιτρέπει στους προγραμματιστές να δημιουργούν εφαρμογές πολλαπλών πλατφορμών από μια ενιαία βάση κώδικα. Αυτή είναι μια αξιοσημείωτη εξέλιξη, καθώς οι φορείς απειλών χρησιμοποιούν συχνά τακτικές όπως τεχνικές αποφυγής, συσκότισης και καθυστερημένης εκτέλεσης για να αποφύγουν τον εντοπισμό από εικονικά περιβάλλοντα και εργαλεία ανάλυσης.

Ωστόσο, η χρήση του Flutter για τη δημιουργία κακόβουλου λογισμικού αντιπροσωπεύει ένα νέο επίπεδο πολυπλοκότητας. Οι ερευνητές κατέληξαν στο συμπέρασμα ότι οι προγραμματιστές κακόβουλου λογισμικού δεν αφιέρωσαν πολύ χρόνο στον προγραμματισμό, αλλά βασίστηκαν στα έμφυτα χαρακτηριστικά της πλατφόρμας Flutter. Αυτό τους επέτρεψε να δημιουργήσουν μια επικίνδυνη και σε μεγάλο βαθμό μη ανιχνεύσιμη απειλητική εφαρμογή.