FluHorse Mobile -haittaohjelma

Uuden Itä-Aasian alueille suunnatun sähköpostin tietojenkalastelukampanjan tavoitteena on levittää uutta Android-haittaohjelmia, jotka tunnetaan nimellä FluHorse. Tämä mobiilihaittaohjelma hyödyntää Flutter-ohjelmistokehityskehystä tartuttaakseen Android-laitteet.

Haittaohjelma levisi useiden vaarallisten Android-sovellusten kautta, jotka jäljittelevät laillisia sovelluksia. Monet näistä haitallisista kohteista ovat jo yli 1 000 000 asennettua, mikä tekee niistä erityisen uhkaavia. Kun käyttäjät lataavat ja asentavat näitä sovelluksia, he tiedostamattaan antavat haittaohjelmille pääsyn valtuustietoihinsa ja 2FA-koodeihinsa.

FluHorse-sovellukset on suunniteltu näyttämään samanlaisilta tai suoraan jäljittelemään suosittuja sovelluksia kohdealueilla, kuten ETC ja VPBank Neo, joita käytetään laajalti Taiwanissa ja Vietnamissa. Todisteet osoittavat, että tämä toiminta on ollut aktiivista ainakin toukokuusta 2022 lähtien. Tietoja FluHorse Android -haittaohjelmasta ja siihen liittyvästä toiminnasta paljastettiin Check Pointin raportissa.

FluHorse huijaa uhreja tietojenkalastelutaktiikoilla

FluHorsen tartuntaketjussa käytetty tietojenkalastelujärjestelmä on melko suoraviivainen - hyökkääjät houkuttelevat uhreja lähettämällä heille huijaussähköposteja, jotka sisältävät linkkejä erityiselle verkkosivustolle, joka isännöi vaarallisia APK-tiedostoja. Nämä sivustot sisältävät myös tarkistuksia, jotka seulovat uhrit ja toimittavat uhkaavan sovelluksen vain, jos vierailijan selaimen User-Agent-merkkijono vastaa Androidin merkkijonoa. Tietojenkalasteluviestit on lähetetty useille korkean profiilin organisaatioille, mukaan lukien valtion virastojen ja suurten teollisuusyritysten työntekijöille.

Kun sovellus on asennettu, haittaohjelma pyytää tekstiviestilupia ja kehottaa käyttäjiä syöttämään valtuustietonsa ja luottokorttitietonsa. Nämä tiedot suodatetaan sitten etäpalvelimelle, kun uhrin on pakko odottaa useita minuutteja.

Asiaa pahentaa vielä se, että uhkatoimijat voivat väärinkäyttää pääsyään tekstiviesteihin siepatakseen kaikki saapuvat 2FA-koodit ja ohjatakseen ne operaation Command-and-Control (C2, C&C) -palvelimelle. Tämän ansiosta hyökkääjät voivat ohittaa turvatoimenpiteet, jotka perustuvat 2FA:han käyttäjätilien suojaamiseen.

Tietojenkalasteluhyökkäyksen lisäksi tunnistettiin myös treffisovellus. Havaittiin, että kiinaa puhuvia käyttäjiä ohjattiin vilpillisille aloitussivuille, joiden tarkoituksena oli tallentaa heidän luottokorttitietonsa. Tämä korostaa entisestään näiden hyökkäysten aiheuttamaa vaaraa ja sitä, kuinka tärkeää on pysyä valppaana ja ryhtyä asianmukaisiin varotoimiin suojautuaksesi kyberuhkilta.

FluHorse Android -haittaohjelmaa on vaikea havaita

Mielenkiintoista tässä haittaohjelmassa on, että se toteutetaan Flutterilla, avoimen lähdekoodin käyttöliittymäohjelmiston kehityssarjalla, jonka avulla kehittäjät voivat luoda monialustaisia sovelluksia yhdestä koodikannasta. Tämä on huomionarvoinen kehitysaskel, koska uhkatekijät käyttävät usein taktiikoita, kuten väistötekniikoita, hämärtämistä ja viivästettyä suoritusta välttääkseen virtuaaliympäristöjen ja analyysityökalujen havaitsemisen.

Flutterin käyttö haittaohjelmien luomiseen edustaa kuitenkin uutta kehittyneisyyden tasoa. Tutkijat ovat tulleet siihen tulokseen, että haittaohjelmien kehittäjät eivät käyttäneet paljon aikaa ohjelmointiin, vaan luottivat sen sijaan Flutter-alustan luontaisiin ominaisuuksiin. Tämän ansiosta he pystyivät luomaan vaarallisen ja suurelta osin havaitsemattoman uhkaavan sovelluksen.