FluHorse'i mobiili pahavara

Uue Ida-Aasia piirkondadele suunatud e-kirjade andmepüügikampaania eesmärk on levitada uut Androidi pahavara tüve nimega FluHorse. See konkreetne mobiili pahavara kasutab Android-seadmete nakatamiseks ära Flutteri tarkvaraarenduse raamistikku.

Pahavara levis mitme ebaturvalise Androidi rakenduse kaudu, mis jäljendavad legitiimseid rakendusi. Paljud neist kahjulikest üksustest on juba installinud üle 1 000 000, mis muudab need eriti ohtlikuks. Kui kasutajad neid rakendusi alla laadivad ja installivad, annavad nad pahavarale teadmatult juurdepääsu oma mandaatidele ja kahefaktorilise autentimise (2FA) koodidele.

FluHorse'i rakendused on loodud nii, et need näiksid välja sarnased või imiteeriksid sihitud piirkondade populaarseid rakendusi, nagu ETC ja VPBank Neo, mida kasutatakse laialdaselt Taiwanis ja Vietnamis. Tõendid näitavad, et see tegevus on olnud aktiivne vähemalt 2022. aasta maist. Üksikasjad FluHorse'i Androidi pahavara ja sellega seotud tegevuse kohta selgusid Check Pointi aruandest.

FluHorse trikitab ohvreid andmepüügitaktikaga

FluHorse'i nakkusahelas kasutatav andmepüügiskeem on üsna lihtne – ründajad meelitavad ohvreid, saates neile petukirjad, mis sisaldavad linke spetsiaalsele veebisaidile, mis majutab ebaturvalisi APK-faile. Need veebisaidid sisaldavad ka kontrolle, mis kontrollivad ohvreid, edastades ähvardava rakenduse ainult siis, kui külastaja brauseri kasutajaagendi string ühtib Androidi stringiga. Andmepüügimeilid on saadetud paljudele kõrgetasemelistele organisatsioonidele, sealhulgas valitsusasutuste ja suurte tööstusettevõtete töötajatele.

Kui rakendus on installitud, küsib pahavara SMS-i õigusi ja nõuab tungivalt, et kasutajad sisestaksid oma mandaadid ja krediitkaardi andmed. See teave eksfiltreeritakse seejärel kaugserverisse, samal ajal kui ohver on sunnitud mitu minutit ootama.

Asja teeb hullemaks see, et ohus osalejad võivad kuritarvitada oma juurdepääsu SMS-sõnumitele, et pealt kuulata kõik sissetulevad 2FA koodid ja suunata need ümber operatsiooni Command-and-Control (C2, C&C) serverisse. See võimaldab ründajatel mööda minna turvameetmetest, mis tuginevad kasutajakontode kaitsmiseks 2FA-le.

Lisaks andmepüügirünnakule tuvastati ka kohtinguäpp. Täheldati hiina keelt kõnelevate kasutajate suunamist petturitele sihtlehtedele, mis on mõeldud nende krediitkaarditeabe jäädvustamiseks. See rõhutab veelgi nende rünnakutega kaasnevat ohtu ning seda, kui oluline on säilitada valvsus ja võtta asjakohaseid ettevaatusabinõusid, et kaitsta end küberohtude eest.

FluHorse'i Androidi pahavara on raske tuvastada

Selle konkreetse pahavara puhul on huvitav see, et seda rakendatakse Flutteriga, avatud lähtekoodiga kasutajaliidese tarkvaraarenduskomplektiga, mis võimaldab arendajatel luua platvormideüleseid rakendusi ühest koodibaasist. See on tähelepanuväärne areng, kuna ohus osalejad kasutavad sageli selliseid taktikaid nagu kõrvalehoidmise tehnikad, segamine ja viivitatud täitmine, et vältida virtuaalkeskkondade ja analüüsitööriistade tuvastamist.

Flutteri kasutamine pahavara loomiseks esindab aga uut keerukuse taset. Uurijad jõudsid järeldusele, et pahavara arendajad ei kulutanud palju aega programmeerimisele, vaid tuginesid Flutteri platvormi kaasasündinud omadustele. See võimaldas neil luua ohtliku ja suures osas avastamata ähvardava rakenduse.