Mobilný malvér FluHorse

Nová e-mailová phishingová kampaň zameraná na regióny východnej Ázie má za cieľ distribuovať nový kmeň Android malvéru známy ako FluHorse. Tento konkrétny mobilný malvér využíva vývojový rámec softvéru Flutter na infikovanie zariadení so systémom Android.

Malvér sa šíril prostredníctvom niekoľkých nebezpečných aplikácií pre Android, ktoré napodobňujú legitímne aplikácie. Mnohé z týchto škodlivých položiek už dosiahli viac ako 1 000 000 inštalácií, čo ich robí obzvlášť hrozivými. Keď používatelia stiahnu a nainštalujú tieto aplikácie, nevedomky poskytnú malvéru prístup k svojim povereniam a kódom dvojfaktorovej autentifikácie (2FA).

Aplikácie FluHorse sú navrhnuté tak, aby vyzerali podobne alebo priamo napodobňovali populárne aplikácie v cieľových regiónoch, ako sú ETC a VPBank Neo, ktoré sú široko používané na Taiwane a vo Vietname. Dôkazy ukazujú, že táto aktivita je aktívna prinajmenšom od mája 2022. Podrobnosti o malvéri FluHorse Android a súvisiacej aktivite odhalila správa od Check Point.

FluHorse oklame obete taktikou phishingu

Schéma phishingu využívaná v infekčnom reťazci FluHorse je celkom jednoduchá – útočníci lákajú obete tým, že im posielajú podvodné e-maily obsahujúce odkazy na vyhradenú webovú stránku, ktorá hostí nebezpečné súbory APK. Tieto webové stránky tiež obsahujú kontroly, ktoré preveria obete, pričom hrozivú aplikáciu doručia iba vtedy, ak sa reťazec používateľského agenta v prehliadači návštevníka zhoduje s reťazcom Androidu. Phishingové e-maily boli zaslané celému radu významných organizácií vrátane zamestnancov vládnych agentúr a veľkých priemyselných spoločností.

Po nainštalovaní aplikácie si malvér vyžiada povolenia SMS a vyzýva používateľov, aby zadali svoje prihlasovacie údaje a informácie o kreditnej karte. Tieto informácie sú potom prenesené na vzdialený server, zatiaľ čo obeť je nútená čakať niekoľko minút.

Aby toho nebolo málo, aktéri hrozby môžu zneužiť svoj prístup k SMS správam na zachytenie všetkých prichádzajúcich 2FA kódov a ich presmerovanie na server Command-and-Control (C2, C&C) operácie. To umožňuje útočníkom obísť bezpečnostné opatrenia, ktoré sa pri ochrane používateľských účtov spoliehajú na 2FA.

Okrem phishingového útoku bola identifikovaná aj zoznamovacia aplikácia. Bolo pozorované presmerovanie čínsky hovoriacich používateľov na nečestné vstupné stránky určené na zachytenie informácií o ich kreditných kartách. To ešte viac poukazuje na nebezpečenstvo, ktoré tieto útoky predstavujú, a na dôležitosť zachovania ostražitosti a prijatia vhodných opatrení na ochranu pred kybernetickými hrozbami.

Škodlivý softvér FluHorse Android je ťažké zistiť

Na tomto konkrétnom malvéri je zaujímavé, že je implementovaný pomocou Flutter, open-source súpravy na vývoj softvéru používateľského rozhrania, ktorá umožňuje vývojárom vytvárať multiplatformové aplikácie z jedinej kódovej základne. Ide o pozoruhodný vývoj, pretože aktéri hrozieb často používajú taktiky, ako sú únikové techniky, zahmlievanie a oneskorené vykonávanie, aby sa vyhli odhaleniu virtuálnymi prostrediami a analytickými nástrojmi.

Používanie Flutter na vytváranie malvéru však predstavuje novú úroveň sofistikovanosti. Výskumníci dospeli k záveru, že vývojári malvéru netrávili veľa času programovaním, ale spoliehali sa na vrodené vlastnosti platformy Flutter. To im umožnilo vytvoriť nebezpečnú a do značnej miery nezistenú ohrozujúcu aplikáciu.