FluHorse mobil skadelig programvare

En ny phishing-kampanje på e-post rettet mot østasiatiske regioner har som mål å distribuere en ny stamme av Android-skadevare kjent som FluHorse. Denne spesielle mobile skadevare utnytter Flutter-programvareutviklingsrammeverket for å infisere Android-enheter.

Skadevaren spredte seg gjennom flere usikre Android-applikasjoner som etterligner legitime applikasjoner. Mange av disse skadelige gjenstandene har allerede nådd over 1 000 000 installasjoner, noe som gjør dem spesielt truende. Når brukere laster ned og installerer disse applikasjonene, gir de ubevisst skadelig programvare tilgang til deres legitimasjon og 2FA-koder (tofaktorautentisering).

FluHorse-applikasjonene er designet for å virke like eller direkte imitere populære apper i de målrettede regionene, som ETC og VPBank Neo, som er mye brukt i Taiwan og Vietnam. Bevis viser at denne aktiviteten har vært aktiv siden minst mai 2022. Detaljer om FluHorse Android malware og tilhørende aktivitet ble avslørt i en rapport fra Check Point.

FluHorse lurer ofre med phishing-taktikker

Phishing-ordningen som brukes i infeksjonskjeden til FluHorse er ganske grei - angripere lokker ofre ved å sende dem svindel-e-poster som inneholder lenker til et dedikert nettsted som er vert for usikre APK-filer. Disse nettstedene inneholder også sjekker som viser ofre, og leverer kun den truende applikasjonen hvis den besøkendes nettleser User-Agent-streng samsvarer med Android. Phishing-e-postene er sendt til en rekke høyprofilerte organisasjoner, inkludert ansatte i offentlige etater og store industribedrifter.

Når applikasjonen er installert, ber skadelig programvare om SMS-tillatelser og oppfordrer brukerne til å legge inn legitimasjon og kredittkortinformasjon. Denne informasjonen blir deretter eksfiltrert til en ekstern server mens offeret blir tvunget til å vente i flere minutter.

For å gjøre vondt verre kan trusselaktørene misbruke tilgangen til SMS-meldinger for å avskjære alle innkommende 2FA-koder og omdirigere dem til kommando-og-kontroll-serveren (C2, C&C) for operasjonen. Dette lar angriperne omgå sikkerhetstiltak som er avhengige av 2FA for å beskytte brukerkontoer.

I tillegg til phishing-angrepet ble det også identifisert en datingapp. Det ble observert å omdirigere kinesisktalende brukere til useriøse landingssider designet for å fange opp kredittkortinformasjonen deres. Dette fremhever ytterligere faren som disse angrepene utgjør, og viktigheten av å være årvåken og ta passende forholdsregler for å beskytte seg mot cybertrusler.

FluHorse Android-malware er vanskelig å oppdage

Det som er interessant med denne spesielle skadevare er at den er implementert ved hjelp av Flutter, et åpen kildekode UI-programvareutviklingssett som gjør det mulig for utviklere å lage tverrplattformapplikasjoner fra en enkelt kodebase. Dette er en bemerkelsesverdig utvikling ettersom trusselaktører ofte bruker taktikker som unnvikelsesteknikker, tilsløring og forsinket utførelse for å unngå oppdagelse av virtuelle miljøer og analyseverktøy.

Å bruke Flutter til å lage skadevare representerer imidlertid et nytt nivå av sofistikering. Forskerne har konkludert med at skadevareutviklerne ikke brukte mye tid på programmering, men i stedet stolte på Flutter-plattformens medfødte egenskaper. Dette tillot dem å lage en farlig og stort sett uoppdaget truende applikasjon.