תוכנה זדונית ניידת של FluHorse

קמפיין דיוג חדש בדוא"ל המכוון לאזורים במזרח אסיה נועד להפיץ זן חדש של תוכנות זדוניות אנדרואיד המכונה FluHorse. תוכנה זדונית ספציפית זו לנייד מנצלת את מסגרת פיתוח התוכנה של Flutter כדי להדביק מכשירי אנדרואיד.

התוכנה הזדונית התפשטה דרך מספר אפליקציות אנדרואיד לא בטוחות המחקות אפליקציות לגיטימיות. רבים מהפריטים המזיקים האלה כבר הגיעו ליותר מ-1,000,000 התקנות, מה שהופך אותם לאיים במיוחד. כאשר משתמשים מורידים ומתקינים את היישומים הללו, הם מבלי לדעת נותנים לתוכנות זדוניות גישה לאישורים ולקודי אימות דו-גורמי (2FA) שלהם.

האפליקציות של FluHorse נועדו להופיע דומות או לחקות באופן מוחלט אפליקציות פופולריות באזורים הממוקדים, כגון ETC ו-VPBank Neo, שנמצאות בשימוש נרחב בטייוואן וויאטנם. עדויות מראות שפעילות זו פעילה לפחות מאז מאי 2022. פרטים על תוכנות זדוניות אנדרואיד של FluHorse והפעילות הקשורה אליה נחשפו בדוח של צ'ק פוינט.

FluHorse מרמה קורבנות עם טקטיקות פישינג

ערכת הדיוג המשמשת בשרשרת ההדבקה של FluHorse היא די פשוטה - תוקפים מפתים קורבנות על ידי שליחת אימייל הונאה המכילים קישורים לאתר אינטרנט ייעודי המארח קבצי APK לא בטוחים. אתרים אלה מכילים גם בדיקות שמסכימות קורבנות, ומספקות את האפליקציה המאיימת רק אם מחרוזת User-Agent של הדפדפן של המבקר תואמת לזו של אנדרואיד. הודעות הדיוג נשלחו למגוון ארגונים בעלי פרופיל גבוה, כולל עובדים של סוכנויות ממשלתיות וחברות תעשייתיות גדולות.

לאחר התקנת האפליקציה, התוכנה הזדונית מבקשת הרשאות SMS וקוראת למשתמשים להזין את האישורים ופרטי כרטיס האשראי שלהם. לאחר מכן, מידע זה עובר לשרת מרוחק בזמן שהקורבן נאלץ להמתין מספר דקות.

כדי להחמיר את המצב, שחקני האיומים יכולים לנצל לרעה את הגישה שלהם להודעות SMS כדי ליירט את כל קודי ה-2FA הנכנסים ולהפנות אותם לשרת הפיקוד והבקרה (C2, C&C) של הפעולה. זה מאפשר לתוקפים לעקוף אמצעי אבטחה המסתמכים על 2FA כדי להגן על חשבונות משתמש.

בנוסף למתקפת הדיוג, זוהתה גם אפליקציית היכרויות. זה נצפה מפנה משתמשים דוברי סינית לדפי נחיתה סוררים שנועדו ללכוד את פרטי כרטיס האשראי שלהם. זה מדגיש עוד יותר את הסכנה הנשקפת מהתקפות אלו ואת החשיבות של שמירה על ערנות ונקיטת אמצעי זהירות מתאימים כדי להגן על עצמך מפני איומי סייבר.

קשה לזהות את תוכנת זדונית אנדרואיד של FluHorse

מה שמעניין בתוכנה הזדונית הספציפית הזו הוא שהיא מיושמת באמצעות Flutter, ערכת פיתוח תוכנת ממשק משתמש בקוד פתוח המאפשרת למפתחים ליצור יישומים חוצי פלטפורמה מבסיס קוד אחד. זוהי התפתחות ראויה לציון שכן גורמי איומים משתמשים לעתים קרובות בטקטיקות כגון טכניקות התחמקות, ערפול ועיכוב בביצוע כדי להימנע מזיהוי על ידי סביבות וירטואליות וכלי ניתוח.

עם זאת, השימוש ב-Flutter ליצירת תוכנות זדוניות מייצג רמה חדשה של תחכום. החוקרים הגיעו למסקנה שמפתחי תוכנות זדוניות לא השקיעו זמן רב בתכנות אלא הסתמכו על המאפיינים המולדים של פלטפורמת Flutter. זה איפשר להם ליצור אפליקציה מאיימת מסוכנת ולא מזוהה במידה רבה.