Mobilne złośliwe oprogramowanie FluHorse

Nowa kampania phishingowa skierowana do regionów Azji Wschodniej ma na celu dystrybucję nowego szczepu złośliwego oprogramowania dla systemu Android, znanego jako FluHorse. To konkretne mobilne złośliwe oprogramowanie wykorzystuje platformę programistyczną Flutter do infekowania urządzeń z Androidem.

Złośliwe oprogramowanie rozprzestrzeniało się za pośrednictwem kilku niebezpiecznych aplikacji na Androida, które naśladują legalne aplikacje. Wiele z tych szkodliwych elementów zostało już zainstalowanych ponad 1 000 000, co czyni je szczególnie groźnymi. Gdy użytkownicy pobierają i instalują te aplikacje, nieświadomie dają złośliwemu oprogramowaniu dostęp do swoich danych uwierzytelniających i kodów uwierzytelniania dwuskładnikowego (2FA).

Aplikacje FluHorse mają wyglądać podobnie lub wręcz imitować popularne aplikacje w docelowych regionach, takie jak ETC i VPBank Neo, które są szeroko stosowane na Tajwanie i w Wietnamie. Dowody wskazują, że aktywność ta była aktywna co najmniej od maja 2022 r. Szczegóły dotyczące szkodliwego oprogramowania FluHorse dla Androida i związanej z nim aktywności zostały ujawnione w raporcie firmy Check Point.

FluHorse oszukuje ofiary za pomocą taktyk phishingowych

Schemat phishingu wykorzystywany w łańcuchu infekcji FluHorse jest dość prosty - osoby atakujące zwabiają ofiary, wysyłając im oszukańcze wiadomości e-mail zawierające odnośniki do dedykowanej strony internetowej, na której znajdują się niebezpieczne pliki APK. Witryny te zawierają również kontrole, które prześwietlają ofiary, dostarczając groźną aplikację tylko wtedy, gdy ciąg User-Agent przeglądarki odwiedzającego odpowiada ciągowi Androida. E-maile phishingowe zostały wysłane do szeregu znanych organizacji, w tym pracowników agencji rządowych i dużych firm przemysłowych.

Po zainstalowaniu aplikacji złośliwe oprogramowanie żąda uprawnień SMS i nakłania użytkowników do wprowadzenia swoich danych uwierzytelniających i informacji o karcie kredytowej. Informacje te są następnie przekazywane do zdalnego serwera, podczas gdy ofiara jest zmuszona czekać kilka minut.

Co gorsza, cyberprzestępcy mogą nadużywać swojego dostępu do wiadomości SMS, aby przechwytywać wszystkie przychodzące kody 2FA i przekierowywać je do serwera Command-and-Control (C2, C&C) operacji. Pozwala to atakującym ominąć środki bezpieczeństwa, które opierają się na 2FA w celu ochrony kont użytkowników.

Oprócz ataku phishingowego zidentyfikowano również aplikację randkową. Zaobserwowano przekierowywanie chińskojęzycznych użytkowników na nieuczciwe strony docelowe zaprojektowane w celu przechwycenia informacji o ich kartach kredytowych. To jeszcze bardziej podkreśla niebezpieczeństwo, jakie stwarzają te ataki, oraz znaczenie zachowania czujności i podejmowania odpowiednich środków ostrożności w celu ochrony przed cyberzagrożeniami.

Złośliwe oprogramowanie FluHorse dla Androida jest trudne do wykrycia

Interesujące w tym konkretnym złośliwym oprogramowaniu jest to, że jest ono implementowane przy użyciu Flutter, zestawu programistycznego interfejsu użytkownika o otwartym kodzie źródłowym, który umożliwia programistom tworzenie aplikacji wieloplatformowych z jednej bazy kodu. Jest to godne uwagi osiągnięcie, ponieważ cyberprzestępcy często stosują taktyki, takie jak techniki unikania ataków, zaciemnianie i opóźnione wykonywanie, aby uniknąć wykrycia przez środowiska wirtualne i narzędzia analityczne.

Jednak wykorzystanie Fluttera do tworzenia złośliwego oprogramowania reprezentuje nowy poziom wyrafinowania. Badacze doszli do wniosku, że twórcy szkodliwego oprogramowania nie spędzali dużo czasu na programowaniu, lecz polegali na wrodzonych cechach platformy Flutter. To pozwoliło im stworzyć niebezpieczną iw dużej mierze niewykrytą aplikację stanowiącą zagrożenie.