Perisian Hasad Mudah Alih FluHorse
Kempen pancingan data e-mel baharu yang menyasarkan wilayah Asia Timur bertujuan untuk mengedarkan jenis perisian hasad Android baharu yang dikenali sebagai FluHorse. Perisian hasad mudah alih khusus ini mengambil kesempatan daripada rangka kerja pembangunan perisian Flutter untuk menjangkiti peranti Android.
Malware merebak melalui beberapa aplikasi Android yang tidak selamat yang meniru aplikasi yang sah. Kebanyakan item berbahaya ini telah mencapai lebih 1,000,000 pemasangan, yang menjadikannya sangat mengancam. Apabila pengguna memuat turun dan memasang aplikasi ini, mereka secara tidak sedar memberikan akses perisian hasad kepada bukti kelayakan mereka dan kod Pengesahan Dua Faktor (2FA).
Aplikasi FluHorse direka bentuk untuk kelihatan serupa atau meniru langsung apl popular di kawasan yang disasarkan, seperti ETC dan VPBank Neo, yang digunakan secara meluas di Taiwan dan Vietnam. Bukti menunjukkan bahawa aktiviti ini telah aktif sejak sekurang-kurangnya Mei 2022. Butiran tentang perisian hasad Android FluHorse dan aktiviti berkaitannya telah didedahkan dalam laporan oleh Check Point.
FluHorse Tipu Mangsa dengan Taktik Phishing
Skim pancingan data yang digunakan dalam rantaian jangkitan FluHorse agak mudah - penyerang memikat mangsa dengan menghantar e-mel penipuan yang mengandungi pautan ke tapak web khusus yang mengehoskan fail APK yang tidak selamat. Tapak web ini juga mengandungi semakan yang menyaring mangsa, hanya menghantar aplikasi yang mengancam jika rentetan Ejen Pengguna penyemak imbas pelawat sepadan dengan rentetan Android. E-mel pancingan data telah dihantar kepada pelbagai organisasi berprofil tinggi, termasuk pekerja agensi kerajaan dan syarikat industri besar.
Setelah aplikasi dipasang, perisian hasad meminta kebenaran SMS dan menggesa pengguna untuk memasukkan maklumat kelayakan dan kad kredit mereka. Maklumat ini kemudiannya dieksfiltrasi ke pelayan jauh sementara mangsa terpaksa menunggu selama beberapa minit.
Lebih memburukkan keadaan, pelaku ancaman boleh menyalahgunakan akses mereka kepada mesej SMS untuk memintas semua kod 2FA yang masuk dan mengalihkannya ke pelayan Perintah-dan-Kawalan (C2, C&C) operasi. Ini membolehkan penyerang memintas langkah keselamatan yang bergantung pada 2FA untuk melindungi akaun pengguna.
Selain serangan pancingan data, aplikasi temu janji juga dikenal pasti. Ia diperhatikan mengubah hala pengguna berbahasa Cina ke halaman pendaratan penyangak yang direka untuk menangkap maklumat kad kredit mereka. Ini menyerlahkan lagi bahaya yang ditimbulkan oleh serangan ini dan kepentingan untuk terus berwaspada dan mengambil langkah berjaga-jaga yang sewajarnya untuk melindungi diri daripada ancaman siber.
Perisian Hasad Android FluHorse Sukar untuk Dikesan
Apa yang menarik tentang perisian hasad khusus ini ialah ia dilaksanakan menggunakan Flutter, kit pembangunan perisian UI sumber terbuka yang membolehkan pembangun mencipta aplikasi merentas platform daripada satu pangkalan kod. Ini merupakan perkembangan yang patut diberi perhatian kerana pelaku ancaman sering menggunakan taktik seperti teknik pengelakan, pengelakan dan pelaksanaan tertunda untuk mengelakkan pengesanan oleh persekitaran maya dan alat analisis.
Walau bagaimanapun, menggunakan Flutter untuk mencipta perisian hasad mewakili tahap kecanggihan baharu. Para penyelidik telah membuat kesimpulan bahawa pembangun perisian hasad tidak menghabiskan banyak masa untuk pengaturcaraan tetapi sebaliknya bergantung pada ciri semula jadi platform Flutter. Ini membolehkan mereka mencipta aplikasi mengancam yang berbahaya dan sebahagian besarnya tidak dapat dikesan.
