FluHorse Mobile Malware

O nouă campanie de phishing prin e-mail care vizează regiunile din Asia de Est își propune să distribuie o nouă tulpină de malware Android cunoscută sub numele de FluHorse. Acest malware mobil particular profită de cadrul de dezvoltare software Flutter pentru a infecta dispozitivele Android.

Malware-ul s-a răspândit prin mai multe aplicații Android nesigure care imită aplicațiile legitime. Multe dintre aceste articole dăunătoare au ajuns deja la peste 1.000.000 de instalări, ceea ce le face deosebit de amenințătoare. Când utilizatorii descarcă și instalează aceste aplicații, ei acordă, fără să știe, malware-ului acces la acreditările și codurile de autentificare în doi factori (2FA).

Aplicațiile FluHorse sunt concepute să pară similare sau să imite direct aplicațiile populare din regiunile vizate, cum ar fi ETC și VPBank Neo, care sunt utilizate pe scară largă în Taiwan și Vietnam. Dovezile arată că această activitate este activă cel puțin din mai 2022. Detalii despre malware-ul FluHorse Android și activitatea asociată acestuia au fost dezvăluite într-un raport al Check Point.

FluHorse păcălește victimele cu tactici de phishing

Schema de phishing utilizată în lanțul de infecție al FluHorse este destul de simplă - atacatorii atrag victimele trimițându-le e-mailuri înșelătorii care conțin link-uri către un site web dedicat care găzduiește fișiere APK nesigure. Aceste site-uri web conțin, de asemenea, verificări care evaluează victimele, oferind aplicația amenințătoare doar dacă șirul utilizator-agent al browserului vizitatorului se potrivește cu cel al Android. E-mailurile de phishing au fost trimise către o serie de organizații de profil înalt, inclusiv angajați ai agențiilor guvernamentale și mari companii industriale.

Odată ce aplicația este instalată, malware-ul solicită permisiuni SMS și îndeamnă utilizatorii să introducă acreditările și informațiile despre cardul de credit. Aceste informații sunt apoi exfiltrate către un server la distanță, în timp ce victima este forțată să aștepte câteva minute.

Pentru a înrăutăți lucrurile, actorii amenințărilor își pot abuza de accesul la mesajele SMS pentru a intercepta toate codurile 2FA primite și a le redirecționa către serverul de comandă și control (C2, C&C) al operațiunii. Acest lucru le permite atacatorilor să ocolească măsurile de securitate care se bazează pe 2FA pentru a proteja conturile de utilizator.

Pe lângă atacul de phishing, a fost identificată și o aplicație de întâlniri. S-a observat că redirecționează utilizatorii vorbitori de limbă chineză către pagini de destinație necinstite concepute pentru a capta informațiile despre cardul lor de credit. Acest lucru evidențiază și mai mult pericolul reprezentat de aceste atacuri și importanța de a rămâne vigilenți și de a lua măsurile de precauție adecvate pentru a se proteja de amenințările cibernetice.

Programul malware pentru Android FluHorse este dificil de detectat

Ceea ce este interesant la acest program malware special este că este implementat folosind Flutter, un kit de dezvoltare software UI open-source care face posibil ca dezvoltatorii să creeze aplicații multiplatforme dintr-o singură bază de cod. Aceasta este o dezvoltare demnă de remarcat, deoarece actorii amenințărilor folosesc adesea tactici precum tehnicile de evaziune, ofuscarea și execuția întârziată pentru a evita detectarea de către mediile virtuale și instrumentele de analiză.

Cu toate acestea, utilizarea Flutter pentru a crea malware reprezintă un nou nivel de sofisticare. Cercetătorii au ajuns la concluzia că dezvoltatorii de malware nu au petrecut mult timp programării, ci s-au bazat în schimb pe caracteristicile înnăscute ale platformei Flutter. Acest lucru le-a permis să creeze o aplicație periculoasă și amenințătoare în mare măsură nedetectată.