FluHorse mobilni malware

Nova phishing kampanja putem e-pošte usmjerena na istočnoazijske regije ima za cilj distribuciju novog soja zlonamjernog softvera za Android poznatog kao FluHorse. Ovaj određeni mobilni zlonamjerni softver iskorištava okvir za razvoj softvera Flutter za zarazu Android uređaja.

Zlonamjerni se softver proširio kroz nekoliko nesigurnih Android aplikacija koje oponašaju legitimne aplikacije. Mnogi od ovih štetnih stavki već su dosegli više od 1.000.000 instaliranja, što ih čini posebno prijetećim. Kada korisnici preuzmu i instaliraju te aplikacije, oni nesvjesno daju zlonamjernom softveru pristup svojim vjerodajnicama i kodovima za provjeru autentičnosti u dva faktora (2FA).

Aplikacije FluHorse dizajnirane su tako da izgledaju slično ili izravno imitiraju popularne aplikacije u ciljanim regijama, kao što su ETC i VPBank Neo, koje se široko koriste u Tajvanu i Vijetnamu. Dokazi pokazuju da je ova aktivnost aktivna najmanje od svibnja 2022. Pojedinosti o zlonamjernom softveru FluHorse Android i njegovoj povezanoj aktivnosti otkrivene su u izvješću Check Pointa.

FluHorse prevari žrtve taktikom krađe identiteta

Shema krađe identiteta koja se koristi u lancu zaraze FluHorsea prilično je jednostavna - napadači mame žrtve šaljući im prijevarne e-poruke koje sadrže poveznice do namjenske web stranice koja hostira nesigurne APK datoteke. Ta web-mjesta također sadrže provjere koje provjeravaju žrtve, isporučujući prijeteću aplikaciju samo ako se string korisničkog agenta preglednika posjetitelja podudara s onom na Androidu. E-pošta za krađu identiteta poslana je nizu organizacija visokog profila, uključujući zaposlenike vladinih agencija i velikih industrijskih tvrtki.

Nakon što se aplikacija instalira, zlonamjerni softver traži dopuštenja za SMS i poziva korisnike da unesu svoje vjerodajnice i podatke o kreditnoj kartici. Te se informacije zatim eksfiltriraju na udaljeni poslužitelj dok je žrtva prisiljena čekati nekoliko minuta.

Da stvar bude gora, akteri prijetnji mogu zloupotrijebiti svoj pristup SMS porukama kako bi presreli sve dolazne 2FA kodove i preusmjerili ih na Command-and-Control (C2, C&C) poslužitelj operacije. To omogućuje napadačima da zaobiđu sigurnosne mjere koje se oslanjaju na 2FA za zaštitu korisničkih računa.

Osim phishing napada, identificirana je i aplikacija za upoznavanje. Uočeno je preusmjeravanje korisnika koji govore kineski na lažne odredišne stranice dizajnirane za prikupljanje podataka o njihovim kreditnim karticama. Ovo dodatno naglašava opasnost koju predstavljaju ovi napadi i važnost zadržavanja opreza i poduzimanja odgovarajućih mjera opreza kako bi se zaštitili od kibernetičkih prijetnji.

Zlonamjerni softver FluHorse za Android teško je otkriti

Ono što je zanimljivo u vezi s ovim konkretnim zlonamjernim softverom jest da je implementiran pomoću Fluttera, softverskog paketa za razvoj korisničkog sučelja otvorenog koda koji programerima omogućuje stvaranje višeplatformskih aplikacija iz jedne baze koda. Ovo je značajan razvoj jer akteri prijetnji često koriste taktike kao što su tehnike izbjegavanja, zamagljivanje i odgođeno izvršenje kako bi izbjegli otkrivanje virtualnim okruženjima i alatima za analizu.

Međutim, korištenje Fluttera za stvaranje zlonamjernog softvera predstavlja novu razinu sofisticiranosti. Istraživači su zaključili da developeri zlonamjernog softvera nisu trošili puno vremena na programiranje, već su se umjesto toga oslanjali na urođene karakteristike platforme Flutter. To im je omogućilo stvaranje opasne i uglavnom neotkrivene prijeteće aplikacije.