Мобильное вредоносное ПО FluHorse

Новая фишинговая кампания по электронной почте, нацеленная на регионы Восточной Азии, направлена на распространение нового штамма вредоносного ПО для Android, известного как FluHorse. Это конкретное мобильное вредоносное ПО использует платформу разработки программного обеспечения Flutter для заражения устройств Android.

Вредоносное ПО распространяется через несколько небезопасных приложений Android, которые имитируют легитимные приложения. Многие из этих вредоносных элементов уже достигли более 1 000 000 установок, что делает их особенно опасными. Когда пользователи загружают и устанавливают эти приложения, они неосознанно предоставляют вредоносным программам доступ к своим учетным данным и кодам двухфакторной аутентификации (2FA).

Приложения FluHorse разработаны таким образом, чтобы казаться похожими или полностью имитировать популярные приложения в целевых регионах, такие как ETC и VPBank Neo, которые широко используются на Тайване и Вьетнаме. Факты показывают, что эта активность велась по крайней мере с мая 2022 года. Подробная информация о вредоносном ПО FluHorse для Android и связанной с ним деятельности была раскрыта в отчете Check Point.

FluHorse обманывает жертв с помощью тактики фишинга

Схема фишинга, используемая в цепочке заражения FluHorse, довольно проста — злоумышленники заманивают жертв, отправляя им мошеннические электронные письма, содержащие ссылки на специальный веб-сайт, на котором размещены небезопасные файлы APK. Эти веб-сайты также содержат проверки, которые экранируют жертв, доставляя угрожающее приложение только в том случае, если строка User-Agent браузера посетителя совпадает со строкой Android. Фишинговые письма были разосланы ряду авторитетных организаций, включая сотрудников государственных органов и крупных промышленных компаний.

После установки приложения вредоносное ПО запрашивает разрешения по SMS и призывает пользователей ввести свои учетные данные и информацию о кредитной карте. Затем эта информация эксфильтрируется на удаленный сервер, а жертва вынуждена ждать несколько минут.

Что еще хуже, субъекты угрозы могут злоупотреблять своим доступом к SMS-сообщениям, чтобы перехватывать все входящие коды 2FA и перенаправлять их на сервер управления и контроля (C2, C&C) операции. Это позволяет злоумышленникам обходить меры безопасности, основанные на 2FA для защиты учетных записей пользователей.

Помимо фишинговой атаки, также было выявлено приложение для знакомств. Было замечено, что китайскоязычные пользователи перенаправлялись на мошеннические целевые страницы, предназначенные для сбора информации об их кредитных картах. Это еще раз подчеркивает опасность, которую представляют эти атаки, и важность сохранения бдительности и принятия соответствующих мер предосторожности для защиты от киберугроз.

Вредоносное ПО FluHorse для Android трудно обнаружить

Что интересно в этой конкретной вредоносной программе, так это то, что она реализована с помощью Flutter, набора для разработки программного обеспечения пользовательского интерфейса с открытым исходным кодом, который позволяет разработчикам создавать кроссплатформенные приложения из единой кодовой базы. Это примечательное событие, поскольку злоумышленники часто используют такие тактики, как методы уклонения, обфускация и отложенное выполнение, чтобы избежать обнаружения виртуальными средами и инструментами анализа.

Однако использование Flutter для создания вредоносных программ представляет собой новый уровень сложности. Исследователи пришли к выводу, что разработчики вредоносных программ не тратили много времени на программирование, а вместо этого полагались на врожденные характеристики платформы Flutter. Это позволило им создать опасное и в значительной степени необнаруженное угрожающее приложение.