FluHorse mobilā ļaunprogrammatūra

Jaunas e-pasta pikšķerēšanas kampaņas, kuras mērķauditorija ir Austrumāzijas reģioni, mērķis ir izplatīt jaunu Android ļaunprātīgas programmatūras veidu, kas pazīstams kā FluHorse. Šī mobilā ļaunprogrammatūra izmanto Flutter programmatūras izstrādes ietvaru, lai inficētu Android ierīces.

Ļaunprātīga programmatūra izplatījās, izmantojot vairākas nedrošas Android lietojumprogrammas, kas atdarina likumīgas lietojumprogrammas. Daudzi no šiem kaitīgajiem vienumiem jau ir sasnieguši vairāk nekā 1 000 000 instalēšanas gadījumu, kas padara tos īpaši bīstamus. Kad lietotāji lejupielādē un instalē šīs lietojumprogrammas, viņi neapzināti piešķir ļaunprātīgai programmatūrai piekļuvi saviem akreditācijas datiem un divu faktoru autentifikācijas (2FA) kodiem.

FluHorse lietojumprogrammas ir izstrādātas tā, lai tās izskatītos līdzīgas vai pilnībā atdarinātu populāras lietotnes mērķa reģionos, piemēram, ETC un VPBank Neo, kuras plaši izmanto Taivānā un Vjetnamā. Pierādījumi liecina, ka šī darbība ir bijusi aktīva vismaz kopš 2022. gada maija. Sīkāka informācija par FluHorse Android ļaunprātīgo programmatūru un ar to saistīto darbību tika atklāta Check Point ziņojumā.

FluHorse apmāna upurus ar pikšķerēšanas taktiku

FluHorse infekcijas ķēdē izmantotā pikšķerēšanas shēma ir diezgan vienkārša — uzbrucēji pievilina upurus, nosūtot viņiem krāpnieciskus e-pasta ziņojumus, kuros ir saites uz īpašu vietni, kurā tiek mitināti nedroši APK faili. Šajās vietnēs ir iekļautas arī pārbaudes, kas pārbauda upurus, piegādājot draudošu lietojumprogrammu tikai tad, ja apmeklētāja pārlūkprogrammas lietotāja aģenta virkne atbilst operētājsistēmas Android virknei. Pikšķerēšanas e-pasta ziņojumi ir nosūtīti dažādām augsta līmeņa organizācijām, tostarp valsts aģentūru darbiniekiem un lieliem rūpniecības uzņēmumiem.

Kad lietojumprogramma ir instalēta, ļaunprātīga programmatūra pieprasa SMS atļaujas un mudina lietotājus ievadīt savus akreditācijas datus un kredītkartes informāciju. Pēc tam šī informācija tiek izfiltrēta uz attālo serveri, kamēr upuris ir spiests gaidīt vairākas minūtes.

Vēl sliktāk, apdraudējuma dalībnieki var ļaunprātīgi izmantot savu piekļuvi īsziņām, lai pārtvertu visus ienākošos 2FA kodus un novirzītu tos uz operācijas Command-and-Control (C2, C&C) serveri. Tas ļauj uzbrucējiem apiet drošības pasākumus, kas balstās uz 2FA, lai aizsargātu lietotāju kontus.

Papildus pikšķerēšanas uzbrukumam tika identificēta arī iepazīšanās lietotne. Tika novērots, ka ķīniešu valodā runājošie lietotāji tiek novirzīti uz negodīgām galvenajām lapām, kas paredzētas viņu kredītkaršu informācijas iegūšanai. Tas vēl vairāk izceļ šo uzbrukumu radītās briesmas un to, cik svarīgi ir saglabāt modrību un veikt atbilstošus piesardzības pasākumus, lai pasargātu sevi no kiberdraudiem.

FluHorse Android ļaunprogrammatūru ir grūti noteikt

Interesanti par šo konkrēto ļaunprogrammatūru ir tas, ka tā tiek ieviesta, izmantojot Flutter — atvērtā koda lietotāja saskarnes programmatūras izstrādes komplektu, kas ļauj izstrādātājiem izveidot starpplatformu lietojumprogrammas no vienas kodu bāzes. Šī ir ievērojama attīstība, jo apdraudējuma dalībnieki bieži izmanto tādas taktikas kā izvairīšanās paņēmieni, neskaidrības un aizkavēta izpilde, lai izvairītos no atklāšanas ar virtuālo vidi un analīzes rīkiem.

Tomēr Flutter izmantošana ļaunprātīgas programmatūras izveidei ir jauns sarežģītības līmenis. Pētnieki ir secinājuši, ka ļaunprātīgas programmatūras izstrādātāji netērēja daudz laika programmēšanai, bet gan paļāvās uz platformas Flutter iedzimtajām īpašībām. Tas viņiem ļāva izveidot bīstamu un lielākoties neatklātu draudošu lietojumprogrammu.