FluHorse Mobile Malware

A kelet-ázsiai régiókat célzó új e-mailes adathalász kampány célja a FluHorse néven ismert Android rosszindulatú program új törzsének terjesztése. Ez a mobil rosszindulatú program a Flutter szoftverfejlesztési keretrendszert használja ki az Android-eszközök megfertőzésére.

A rosszindulatú program több nem biztonságos Android-alkalmazáson keresztül terjedt el, amelyek legitim alkalmazásokat utánoznak. E káros elemek közül sok már elérte az 1 000 000 telepítést, ami különösen fenyegetővé teszi őket. Amikor a felhasználók letöltik és telepítik ezeket az alkalmazásokat, tudtukon kívül hozzáférést adnak a rosszindulatú programnak hitelesítő adataikhoz és kétfaktoros hitelesítési (2FA) kódjukhoz.

A FluHorse alkalmazásokat úgy tervezték, hogy hasonlónak tűnjenek, vagy egyenesen utánozzák a népszerű alkalmazásokat a megcélzott régiókban, mint például az ETC és a VPBank Neo, amelyeket széles körben használnak Tajvanon és Vietnamban. A bizonyítékok azt mutatják, hogy ez a tevékenység legalább 2022 májusa óta aktív. A FluHorse Android rosszindulatú programjával és a kapcsolódó tevékenységével kapcsolatos részletek a Check Point jelentésében derültek ki.

A FluHorse adathalász taktikákkal csalja meg az áldozatokat

A FluHorse fertőzési láncában használt adathalász séma meglehetősen egyszerű – a támadók csaló e-maileket küldenek nekik, amelyek egy nem biztonságos APK-fájlokat tároló, dedikált webhelyre mutató hivatkozásokat tartalmaznak. Ezek a webhelyek olyan ellenőrzéseket is tartalmaznak, amelyek kiszűrik az áldozatokat, és csak akkor szállítják a fenyegető alkalmazást, ha a látogató böngészőjének felhasználói ügynök karakterlánca megegyezik az Android karakterláncával. Az adathalász e-maileket számos nagy horderejű szervezetnek küldték el, beleértve a kormányzati szervek és a nagy ipari vállalatok alkalmazottait.

Az alkalmazás telepítése után a kártevő SMS-engedélyeket kér, és felszólítja a felhasználókat, hogy adják meg hitelesítő adataikat és hitelkártyaadataikat. Ezt az információt ezután egy távoli szerverre szivárogtatják ki, miközben az áldozat néhány percet várakozni kényszerül.

Tovább rontja a helyzetet, hogy a fenyegetés szereplői visszaélhetnek SMS-üzenetekhez való hozzáférésükkel, hogy elfogják az összes bejövő 2FA kódot, és átirányítsák azokat a művelet Command-and-Control (C2, C&C) szerverére. Ez lehetővé teszi a támadók számára, hogy megkerüljék azokat a biztonsági intézkedéseket, amelyek a 2FA-ra támaszkodnak a felhasználói fiókok védelme érdekében.

Az adathalász támadáson kívül egy társkereső alkalmazást is azonosítottak. Megfigyelték, hogy a kínaiul beszélő felhasználókat olyan csaló céloldalakra irányították át, amelyek célja hitelkártyaadatok rögzítése volt. Ez még jobban rávilágít a támadások jelentette veszélyre, valamint az éberség megőrzésének és a megfelelő óvintézkedések megtételének fontosságára a kiberfenyegetésekkel szembeni védekezés érdekében.

A FluHorse Android-malware-t nehéz felismerni

Ennek a rosszindulatú programnak az az érdekessége, hogy a Flutter segítségével valósítják meg, egy nyílt forráskódú felhasználói felület szoftverfejlesztő készlettel, amely lehetővé teszi a fejlesztők számára, hogy platformokon átívelő alkalmazásokat hozzanak létre egyetlen kódbázisból. Ez figyelemre méltó fejlemény, mivel a fenyegetés szereplői gyakran alkalmaznak olyan taktikákat, mint például a kijátszási technikák, az elhomályosítás és a késleltetett végrehajtás, hogy elkerüljék a virtuális környezetek és elemzési eszközök általi észlelést.

A Flutter használata rosszindulatú programok létrehozására azonban a kifinomultság új szintjét képviseli. A kutatók arra a következtetésre jutottak, hogy a rosszindulatú programok fejlesztői nem fordítottak sok időt a programozásra, hanem a Flutter platform veleszületett tulajdonságaira hagyatkoztak. Ez lehetővé tette számukra, hogy veszélyes és nagyrészt észrevétlenül fenyegető alkalmazást hozzanak létre.