FluHorse mobiele malware

Een nieuwe e-mail phishing-campagne gericht op Oost-Aziatische regio's heeft tot doel een nieuwe soort Android-malware te verspreiden, bekend als FluHorse. Deze specifieke mobiele malware maakt gebruik van het softwareontwikkelingsframework van Flutter om Android-apparaten te infecteren.

De malware verspreidde zich via verschillende onveilige Android-applicaties die legitieme applicaties nabootsen. Veel van deze schadelijke items zijn al meer dan 1.000.000 keer geïnstalleerd, wat ze bijzonder bedreigend maakt. Wanneer gebruikers deze applicaties downloaden en installeren, geven ze onbewust de malware toegang tot hun inloggegevens en Two-Factor Authentication (2FA)-codes.

De FluHorse-applicaties zijn ontworpen om er vergelijkbaar uit te zien of ronduit populaire apps in de beoogde regio's te imiteren, zoals ETC en VPBank Neo, die veel worden gebruikt in Taiwan en Vietnam. Er zijn aanwijzingen dat deze activiteit al minstens sinds mei 2022 actief is. Details over FluHorse Android-malware en de bijbehorende activiteit werden onthuld in een rapport van Check Point.

FluHorse bedriegt slachtoffers met phishing-tactieken

Het phishing-schema dat wordt gebruikt in de infectieketen van FluHorse is vrij eenvoudig: aanvallers lokken slachtoffers door hen zwendel-e-mails te sturen met links naar een speciale website die onveilige APK-bestanden host. Deze websites bevatten ook controles die slachtoffers screenen en de bedreigende applicatie alleen leveren als de User-Agent-string van de browser van de bezoeker overeenkomt met die van Android. De phishing-e-mails zijn verzonden naar verschillende spraakmakende organisaties, waaronder medewerkers van overheidsinstanties en grote industriële bedrijven.

Zodra de applicatie is geïnstalleerd, vraagt de malware om sms-machtigingen en spoort de gebruikers aan om hun inloggegevens en creditcardgegevens in te voeren. Deze informatie wordt vervolgens geëxfiltreerd naar een externe server terwijl het slachtoffer enkele minuten moet wachten.

Tot overmaat van ramp kunnen de bedreigingsactoren hun toegang tot sms-berichten misbruiken om alle inkomende 2FA-codes te onderscheppen en om te leiden naar de Command-and-Control (C2, C&C) server van de operatie. Hierdoor kunnen aanvallers beveiligingsmaatregelen omzeilen die afhankelijk zijn van 2FA om gebruikersaccounts te beschermen.

Naast de phishing-aanval werd ook een dating-app geïdentificeerd. Er werd waargenomen dat Chineessprekende gebruikers werden omgeleid naar frauduleuze bestemmingspagina's die waren ontworpen om hun creditcardgegevens vast te leggen. Dit benadrukt nog eens het gevaar van deze aanvallen en het belang van waakzaamheid en het nemen van passende voorzorgsmaatregelen om zichzelf te beschermen tegen cyberdreigingen.

De FluHorse Android-malware is moeilijk te detecteren

Wat interessant is aan deze specifieke malware, is dat het wordt geïmplementeerd met behulp van Flutter, een open-source UI-softwareontwikkelingskit waarmee ontwikkelaars platformonafhankelijke applicaties kunnen maken vanuit een enkele codebase. Dit is een opmerkelijke ontwikkeling, aangezien dreigingsactoren vaak tactieken gebruiken zoals ontwijkingstechnieken, verduistering en vertraagde uitvoering om detectie door virtuele omgevingen en analysetools te voorkomen.

Het gebruik van Flutter om malware te maken vertegenwoordigt echter een nieuw niveau van verfijning. De onderzoekers hebben geconcludeerd dat de malware-ontwikkelaars niet veel tijd besteedden aan programmeren, maar in plaats daarvan vertrouwden op de aangeboren kenmerken van het Flutter-platform. Hierdoor konden ze een gevaarlijke en grotendeels onopgemerkte bedreigende applicatie maken.