„FluHorse Mobile“ kenkėjiška programa

Nauja sukčiavimo el. paštu kampanija, skirta Rytų Azijos regionams, skirta platinti naują „Android“ kenkėjiškų programų atmainą, žinomą kaip „FluHorse“. Ši konkreti mobilioji kenkėjiška programa naudojasi „Flutter“ programinės įrangos kūrimo sistema, kad užkrėstų „Android“ įrenginius.

Kenkėjiška programa išplito per kelias nesaugias „Android“ programas, kurios imituoja teisėtas programas. Daugelis šių kenksmingų elementų jau pasiekė daugiau nei 1 000 000 įdiegimų, todėl jie yra ypač pavojingi. Kai vartotojai atsisiunčia ir įdiegia šias programas, jie nesąmoningai suteikia kenkėjiškajai programai prieigą prie savo kredencialų ir dviejų faktorių autentifikavimo (2FA) kodų.

„FluHorse“ programos sukurtos taip, kad atrodytų panašios arba visiškai imituotų populiarias programas tiksliniuose regionuose, pvz., ETC ir VPBank Neo, kurios plačiai naudojamos Taivane ir Vietname. Įrodymai rodo, kad ši veikla buvo aktyvi mažiausiai 2022 m. gegužės mėn. Išsami informacija apie „FluHorse Android“ kenkėjišką programą ir su ja susijusią veiklą buvo atskleista „Check Point“ ataskaitoje.

„FluHorse“ apgaudinėja aukas su sukčiavimo taktika

Sukčiavimo schema, naudojama FluHorse infekcijos grandinėje, yra gana paprasta – užpuolikai vilioja aukas siųsdami joms sukčių el. laiškus su nuorodomis į tam skirtą svetainę, kurioje yra nesaugių APK failų. Šiose svetainėse taip pat yra patikrinimų, kurie tikrina aukas ir pateikia grėsmingą programą tik tuo atveju, jei lankytojo naršyklės vartotojo agento eilutė sutampa su „Android“. Sukčiavimo el. laiškai buvo išsiųsti įvairioms aukšto lygio organizacijoms, įskaitant vyriausybinių agentūrų ir didelių pramonės įmonių darbuotojus.

Įdiegus programą, kenkėjiška programa prašo SMS leidimo ir ragina vartotojus įvesti savo kredencialus ir kredito kortelės informaciją. Tada ši informacija išfiltruojama į nuotolinį serverį, o auka yra priversta laukti kelias minutes.

Dar blogiau tai, kad grėsmės veikėjai gali piktnaudžiauti savo prieiga prie SMS žinučių, kad perimtų visus gaunamus 2FA kodus ir nukreiptų juos į operacijos komandų ir valdymo (C2, C&C) serverį. Tai leidžia užpuolikams apeiti saugumo priemones, kurios remiasi 2FA, kad apsaugotų vartotojų paskyras.

Be sukčiavimo atakos, buvo nustatyta ir pažinčių programėlė. Buvo pastebėta, kad kiniškai kalbantys vartotojai nukreipiami į nesąžiningus nukreipimo puslapius, skirtus jų kredito kortelės informacijai užfiksuoti. Tai dar labiau pabrėžia šių atakų keliamą pavojų ir tai, kaip svarbu išlikti budriems ir imtis atitinkamų atsargumo priemonių siekiant apsisaugoti nuo kibernetinių grėsmių.

„FluHorse Android“ kenkėjišką programą sunku aptikti

Įdomu tai, kad ši kenkėjiška programa yra įdiegta naudojant „Flutter“ – atvirojo kodo vartotojo sąsajos programinės įrangos kūrimo rinkinį, kuris leidžia kūrėjams kurti kelių platformų programas iš vienos kodų bazės. Tai verta dėmesio, nes grėsmės veikėjai dažnai naudoja tokias taktikas kaip vengimo būdai, užmaskavimas ir atidėtas vykdymas, kad išvengtų aptikimo virtualiomis aplinkomis ir analizės įrankiais.

Tačiau naudojant „Flutter“ kenkėjiškų programų kūrimui yra naujas rafinuotumo lygis. Tyrėjai padarė išvadą, kad kenkėjiškų programų kūrėjai neskirdavo daug laiko programavimui, o pasikliovė įgimtomis „Flutter“ platformos savybėmis. Tai leido jiems sukurti pavojingą ir beveik nepastebėtą grėsmingą programą.