FluHorse Mobile Malware

Uma nova campanha de phishing por e-mail voltada para as regiões do Leste Asiático visa distribuir uma nova variedade de malware para Android conhecido como FluHorse. Esse malware móvel específico aproveita a estrutura de desenvolvimento de software Flutter para infectar dispositivos Android.

O malware se espalhou por vários aplicativos Android inseguros que imitam aplicativos legítimos. Muitos desses itens nocivos já atingiram mais de 1.000.000 de instalações, o que os torna particularmente ameaçadores. Quando os usuários baixam e instalam esses aplicativos, eles, sem saber, dão ao malware acesso às suas credenciais e códigos de autenticação de dois fatores (2FA).

Os aplicativos FluHorse são projetados para parecer semelhantes ou imitar aplicativos populares nas regiões-alvo, como ETC e VPBank Neo, que são amplamente usados em Taiwan e no Vietnã. As evidências mostram que essa atividade está ativa desde pelo menos maio de 2022. Detalhes sobre o malware FluHorse para Android e suas atividades associadas foram revelados em um relatório da Check Point.

O FluHorse Engana as Vítimas com Táticas de Phishing

O esquema de phishing utilizado na cadeia de infecção do FluHorse é bastante direto - os invasores atraem as vítimas enviando-lhes e-mails fraudulentos contendo links para um site dedicado que hospeda arquivos APK inseguros. Esses sites também contêm verificações que rastreiam as vítimas, entregando apenas o aplicativo ameaçador se a string User-Agent do navegador do visitante corresponder à do Android. Os e-mails de phishing foram enviados para várias organizações de alto perfil, incluindo funcionários de agências governamentais e grandes empresas industriais.

Depois que o aplicativo é instalado, o malware solicita permissões de SMS e solicita que os usuários insiram suas credenciais e informações de cartão de crédito. Esta informação é então exfiltrada para um servidor remoto enquanto a vítima é forçada a esperar por vários minutos.

Para piorar a situação, os agentes de ameaças podem abusar de seu acesso a mensagens SMS para interceptar todos os códigos 2FA recebidos e redirecioná-los para o servidor de comando e controle (C2, C&C) da operação. Isso permite que os invasores ignorem as medidas de segurança que dependem do 2FA para proteger as contas dos usuários.

Além do ataque de phishing, um aplicativo de namoro também foi identificado. Foi observado o redirecionamento de usuários de língua chinesa para páginas de destino fraudulentas, projetadas para capturar suas informações de cartão de crédito. Isso destaca ainda mais o perigo representado por esses ataques e a importância de permanecer vigilante e tomar as devidas precauções para se proteger de ameaças cibernéticas.

O Malware para o Android FluHorse é Difícil de Detectar

O que é interessante sobre esse malware específico é que ele é implementado usando o Flutter, um kit de desenvolvimento de software de interface do usuário de código aberto que possibilita aos desenvolvedores criar aplicativos multiplataforma a partir de uma única base de código. Este é um desenvolvimento digno de nota, pois os agentes de ameaças costumam usar táticas como técnicas de evasão, ofuscação e execução atrasada para evitar a detecção por ambientes virtuais e ferramentas de análise.

No entanto, usar o Flutter para criar malware representa um novo nível de sofisticação. Os pesquisadores concluíram que os desenvolvedores de malware não gastaram muito tempo em programação, mas confiaram nas características inatas da plataforma Flutter. Isso permitiu que eles criassem um aplicativo ameaçador perigoso e amplamente não detectado.