Malware mobile FluHorse

Una nuova campagna di phishing via e-mail mirata alle regioni dell'Asia orientale mira a distribuire un nuovo ceppo di malware Android noto come FluHorse. Questo particolare malware mobile sfrutta il framework di sviluppo del software Flutter per infettare i dispositivi Android.

Il malware si è diffuso attraverso diverse applicazioni Android non sicure che imitano applicazioni legittime. Molti di questi elementi dannosi hanno già raggiunto oltre 1.000.000 di installazioni, il che li rende particolarmente minacciosi. Quando gli utenti scaricano e installano queste applicazioni, inconsapevolmente forniscono al malware l'accesso alle proprie credenziali e ai codici di autenticazione a due fattori (2FA).

Le applicazioni FluHorse sono progettate per apparire simili o imitare completamente app popolari nelle regioni target, come ETC e VPBank Neo, che sono ampiamente utilizzate a Taiwan e in Vietnam. Le prove dimostrano che questa attività è attiva almeno da maggio 2022. I dettagli sul malware Android FluHorse e sulla sua attività associata sono stati rivelati in un rapporto di Check Point.

FluHorse inganna le vittime con tattiche di phishing

Lo schema di phishing utilizzato nella catena di infezione di FluHorse è piuttosto semplice: gli aggressori attirano le vittime inviando loro e-mail fraudolente contenenti collegamenti a un sito Web dedicato che ospita file APK non sicuri. Questi siti Web contengono anche controlli che controllano le vittime, consegnando l'applicazione minacciosa solo se la stringa User-Agent del browser del visitatore corrisponde a quella di Android. Le e-mail di phishing sono state inviate a una serie di organizzazioni di alto profilo, inclusi dipendenti di agenzie governative e grandi aziende industriali.

Una volta installata l'applicazione, il malware richiede le autorizzazioni SMS e sollecita gli utenti a inserire le proprie credenziali e i dati della carta di credito. Queste informazioni vengono quindi esfiltrate su un server remoto mentre la vittima è costretta ad attendere diversi minuti.

A peggiorare le cose, gli autori delle minacce possono abusare del loro accesso ai messaggi SMS per intercettare tutti i codici 2FA in arrivo e reindirizzarli al server Command-and-Control (C2, C&C) dell'operazione. Ciò consente agli aggressori di aggirare le misure di sicurezza che si basano su 2FA per proteggere gli account utente.

Oltre all'attacco di phishing, è stata individuata anche un'app di incontri. È stato osservato reindirizzare gli utenti di lingua cinese a pagine di destinazione non autorizzate progettate per acquisire i dati della loro carta di credito. Ciò evidenzia ulteriormente il pericolo rappresentato da questi attacchi e l'importanza di rimanere vigili e prendere le opportune precauzioni per proteggersi dalle minacce informatiche.

Il malware Android FluHorse è difficile da rilevare

La cosa interessante di questo particolare malware è che viene implementato utilizzando Flutter, un kit di sviluppo software dell'interfaccia utente open source che consente agli sviluppatori di creare applicazioni multipiattaforma da un'unica base di codice. Si tratta di uno sviluppo degno di nota poiché gli attori delle minacce utilizzano spesso tattiche come tecniche di evasione, offuscamento ed esecuzione ritardata per evitare il rilevamento da parte di ambienti virtuali e strumenti di analisi.

Tuttavia, l'utilizzo di Flutter per creare malware rappresenta un nuovo livello di sofisticazione. I ricercatori hanno concluso che gli sviluppatori di malware non hanno dedicato molto tempo alla programmazione, ma hanno invece fatto affidamento sulle caratteristiche innate della piattaforma Flutter. Ciò ha permesso loro di creare un'applicazione minacciosa pericolosa e in gran parte non rilevata.