بدافزار موبایل FluHorse

یک کمپین فیشینگ ایمیل جدید که مناطق شرق آسیا را هدف قرار می دهد، با هدف توزیع گونه جدیدی از بدافزار اندرویدی به نام FluHorse است. این بدافزار موبایل خاص از چارچوب توسعه نرم افزار Flutter برای آلوده کردن دستگاه های اندرویدی استفاده می کند.

این بدافزار از طریق چندین برنامه ناامن اندرویدی که از برنامه های قانونی تقلید می کنند، پخش می شود. بسیاری از این موارد مضر در حال حاضر به بیش از 1,000,000 نصب رسیده اند که آنها را به ویژه تهدید کننده می کند. هنگامی که کاربران این برنامه ها را دانلود و نصب می کنند، ناآگاهانه به بدافزار دسترسی به اطلاعات کاربری و کدهای احراز هویت دو مرحله ای (2FA) خود را می دهند.

برنامه‌های FluHorse به گونه‌ای طراحی شده‌اند که شبیه برنامه‌های محبوب در مناطق مورد نظر، مانند ETC و VPBank Neo، که به طور گسترده در تایوان و ویتنام استفاده می‌شوند، به نظر می‌رسند یا تقلید کامل دارند. شواهد نشان می دهد که این فعالیت حداقل از ماه می 2022 فعال بوده است. جزئیات مربوط به بدافزار Android FluHorse و فعالیت مرتبط با آن در گزارشی توسط Check Point فاش شد.

FluHorse قربانیان را با تاکتیک های فیشینگ فریب می دهد

طرح فیشینگ مورد استفاده در زنجیره عفونت FluHorse کاملاً ساده است - مهاجمان قربانیان را با ارسال ایمیل های کلاهبرداری حاوی پیوندهایی به یک وب سایت اختصاصی که فایل های APK ناامن را میزبانی می کند فریب می دهند. این وب‌سایت‌ها همچنین حاوی چک‌هایی هستند که قربانیان را نمایش می‌دهند و تنها در صورتی برنامه تهدیدکننده را تحویل می‌دهند که رشته کاربر-عامل مرورگر بازدیدکننده با آندروید مطابقت داشته باشد. ایمیل‌های فیشینگ برای طیف وسیعی از سازمان‌های مطرح، از جمله کارمندان سازمان‌های دولتی و شرکت‌های بزرگ صنعتی ارسال شده است.

پس از نصب برنامه، بدافزار مجوز پیامک درخواست می‌کند و از کاربران می‌خواهد اعتبار و اطلاعات کارت اعتباری خود را وارد کنند. این اطلاعات سپس به یک سرور راه دور منتقل می شود در حالی که قربانی مجبور می شود چند دقیقه صبر کند.

بدتر از همه، عوامل تهدید می‌توانند از دسترسی خود به پیام‌های SMS برای رهگیری همه کدهای 2FA دریافتی و هدایت آنها به سرور Command-and-Control (C2, C&C) عملیات سوء استفاده کنند. این به مهاجمان اجازه می دهد تا از اقدامات امنیتی که به 2FA برای محافظت از حساب های کاربر متکی هستند، دور بزنند.

علاوه بر حمله فیشینگ، یک اپلیکیشن دوستیابی نیز شناسایی شد. مشاهده شد که کاربران چینی زبان را به صفحات فرود سرکشی که برای گرفتن اطلاعات کارت اعتباری آنها طراحی شده است هدایت می کند. این امر خطر ناشی از این حملات و اهمیت هوشیاری و انجام اقدامات احتیاطی مناسب برای محافظت از خود در برابر تهدیدات سایبری را بیشتر نشان می دهد.

شناسایی بدافزار اندرویدی FluHorse دشوار است

نکته جالب در مورد این بدافزار خاص این است که با استفاده از Flutter، یک کیت توسعه نرم‌افزار UI منبع باز پیاده‌سازی می‌شود که به توسعه‌دهندگان امکان می‌دهد تا برنامه‌های بین پلتفرمی را از یک پایگاه کد واحد ایجاد کنند. این یک پیشرفت قابل توجه است زیرا بازیگران تهدید اغلب از تاکتیک هایی مانند تکنیک های فرار، مبهم سازی و اجرای تاخیری برای جلوگیری از شناسایی توسط محیط های مجازی و ابزارهای تحلیل استفاده می کنند.

با این حال، استفاده از Flutter برای ایجاد بدافزار نشان دهنده سطح جدیدی از پیچیدگی است. محققان به این نتیجه رسیده‌اند که توسعه‌دهندگان بدافزار زمان زیادی را صرف برنامه‌نویسی نکرده‌اند، بلکه بر ویژگی‌های ذاتی پلتفرم فلاتر تکیه کرده‌اند. این به آنها اجازه داد تا یک برنامه تهدیدآمیز خطرناک و تا حد زیادی شناسایی نشده ایجاد کنند.