بدافزار موبایل FluHorse
یک کمپین فیشینگ ایمیل جدید که مناطق شرق آسیا را هدف قرار می دهد، با هدف توزیع گونه جدیدی از بدافزار اندرویدی به نام FluHorse است. این بدافزار موبایل خاص از چارچوب توسعه نرم افزار Flutter برای آلوده کردن دستگاه های اندرویدی استفاده می کند.
این بدافزار از طریق چندین برنامه ناامن اندرویدی که از برنامه های قانونی تقلید می کنند، پخش می شود. بسیاری از این موارد مضر در حال حاضر به بیش از 1,000,000 نصب رسیده اند که آنها را به ویژه تهدید کننده می کند. هنگامی که کاربران این برنامه ها را دانلود و نصب می کنند، ناآگاهانه به بدافزار دسترسی به اطلاعات کاربری و کدهای احراز هویت دو مرحله ای (2FA) خود را می دهند.
برنامههای FluHorse به گونهای طراحی شدهاند که شبیه برنامههای محبوب در مناطق مورد نظر، مانند ETC و VPBank Neo، که به طور گسترده در تایوان و ویتنام استفاده میشوند، به نظر میرسند یا تقلید کامل دارند. شواهد نشان می دهد که این فعالیت حداقل از ماه می 2022 فعال بوده است. جزئیات مربوط به بدافزار Android FluHorse و فعالیت مرتبط با آن در گزارشی توسط Check Point فاش شد.
FluHorse قربانیان را با تاکتیک های فیشینگ فریب می دهد
طرح فیشینگ مورد استفاده در زنجیره عفونت FluHorse کاملاً ساده است - مهاجمان قربانیان را با ارسال ایمیل های کلاهبرداری حاوی پیوندهایی به یک وب سایت اختصاصی که فایل های APK ناامن را میزبانی می کند فریب می دهند. این وبسایتها همچنین حاوی چکهایی هستند که قربانیان را نمایش میدهند و تنها در صورتی برنامه تهدیدکننده را تحویل میدهند که رشته کاربر-عامل مرورگر بازدیدکننده با آندروید مطابقت داشته باشد. ایمیلهای فیشینگ برای طیف وسیعی از سازمانهای مطرح، از جمله کارمندان سازمانهای دولتی و شرکتهای بزرگ صنعتی ارسال شده است.
پس از نصب برنامه، بدافزار مجوز پیامک درخواست میکند و از کاربران میخواهد اعتبار و اطلاعات کارت اعتباری خود را وارد کنند. این اطلاعات سپس به یک سرور راه دور منتقل می شود در حالی که قربانی مجبور می شود چند دقیقه صبر کند.
بدتر از همه، عوامل تهدید میتوانند از دسترسی خود به پیامهای SMS برای رهگیری همه کدهای 2FA دریافتی و هدایت آنها به سرور Command-and-Control (C2, C&C) عملیات سوء استفاده کنند. این به مهاجمان اجازه می دهد تا از اقدامات امنیتی که به 2FA برای محافظت از حساب های کاربر متکی هستند، دور بزنند.
علاوه بر حمله فیشینگ، یک اپلیکیشن دوستیابی نیز شناسایی شد. مشاهده شد که کاربران چینی زبان را به صفحات فرود سرکشی که برای گرفتن اطلاعات کارت اعتباری آنها طراحی شده است هدایت می کند. این امر خطر ناشی از این حملات و اهمیت هوشیاری و انجام اقدامات احتیاطی مناسب برای محافظت از خود در برابر تهدیدات سایبری را بیشتر نشان می دهد.
شناسایی بدافزار اندرویدی FluHorse دشوار است
نکته جالب در مورد این بدافزار خاص این است که با استفاده از Flutter، یک کیت توسعه نرمافزار UI منبع باز پیادهسازی میشود که به توسعهدهندگان امکان میدهد تا برنامههای بین پلتفرمی را از یک پایگاه کد واحد ایجاد کنند. این یک پیشرفت قابل توجه است زیرا بازیگران تهدید اغلب از تاکتیک هایی مانند تکنیک های فرار، مبهم سازی و اجرای تاخیری برای جلوگیری از شناسایی توسط محیط های مجازی و ابزارهای تحلیل استفاده می کنند.
با این حال، استفاده از Flutter برای ایجاد بدافزار نشان دهنده سطح جدیدی از پیچیدگی است. محققان به این نتیجه رسیدهاند که توسعهدهندگان بدافزار زمان زیادی را صرف برنامهنویسی نکردهاند، بلکه بر ویژگیهای ذاتی پلتفرم فلاتر تکیه کردهاند. این به آنها اجازه داد تا یک برنامه تهدیدآمیز خطرناک و تا حد زیادی شناسایی نشده ایجاد کنند.