Zlonamerna programska oprema za mobilne naprave FluHorse
Nova kampanja lažnega predstavljanja po e-pošti, ki cilja na vzhodnoazijske regije, je namenjena distribuciji nove vrste zlonamerne programske opreme Android, znane kot FluHorse. Ta posebna mobilna zlonamerna programska oprema izkorišča okvir za razvoj programske opreme Flutter za okužbo naprav Android.
Zlonamerna programska oprema se je razširila prek več nevarnih aplikacij za Android, ki posnemajo zakonite aplikacije. Mnogi od teh škodljivih predmetov so že dosegli več kot 1.000.000 namestitev, zaradi česar so še posebej nevarni. Ko uporabniki prenesejo in namestijo te aplikacije, zlonamerni programski opremi nevede omogočijo dostop do svojih poverilnic in kod dvofaktorske avtentikacije (2FA).
Aplikacije FluHorse so zasnovane tako, da so videti podobne ali popolnoma posnemajo priljubljene aplikacije v ciljnih regijah, kot sta ETC in VPBank Neo, ki se pogosto uporabljajo v Tajvanu in Vietnamu. Dokazi kažejo, da je ta dejavnost aktivna vsaj od maja 2022. Podrobnosti o zlonamerni programski opremi FluHorse Android in z njo povezani dejavnosti so bile razkrite v poročilu Check Pointa.
FluHorse pretenta žrtve s taktikami lažnega predstavljanja
Shema lažnega predstavljanja, uporabljena v verigi okužbe FluHorse, je precej enostavna – napadalci zvabijo žrtve tako, da jim pošljejo lažna e-poštna sporočila s povezavami do namenskega spletnega mesta, ki gosti nevarne datoteke APK. Ta spletna mesta vsebujejo tudi preverjanja, ki preverjajo žrtve in zagotavljajo grozečo aplikacijo samo, če se niz uporabniškega agenta v brskalniku obiskovalca ujema z nizom za Android. E-poštna sporočila z lažnim predstavljanjem so bila poslana številnim uglednim organizacijam, vključno z zaposlenimi v vladnih agencijah in velikih industrijskih podjetjih.
Ko je aplikacija nameščena, zlonamerna programska oprema zahteva dovoljenja za SMS in poziva uporabnike, da vnesejo svoje poverilnice in podatke o kreditni kartici. Te informacije se nato prenesejo na oddaljeni strežnik, žrtev pa mora čakati nekaj minut.
Da je zadeva še hujša, lahko akterji groženj zlorabijo svoj dostop do sporočil SMS, da prestrežejo vse dohodne kode 2FA in jih preusmerijo na strežnik za ukazovanje in nadzor (C2, C&C) operacije. To napadalcem omogoča, da obidejo varnostne ukrepe, ki se zanašajo na 2FA za zaščito uporabniških računov.
Poleg lažnega predstavljanja je bila identificirana tudi aplikacija za zmenke. Opazili so preusmerjanje kitajsko govorečih uporabnikov na lažne ciljne strani, namenjene zajemanju podatkov o njihovi kreditni kartici. To dodatno poudarja nevarnost, ki jo predstavljajo ti napadi, in pomembnost ohranjanja pozornosti ter sprejemanja ustreznih varnostnih ukrepov za zaščito pred kibernetskimi grožnjami.
Zlonamerno programsko opremo za Android FluHorse je težko zaznati
Pri tej zlonamerni programski opremi je zanimivo to, da je implementirana z uporabo Flutterja, odprtokodnega kompleta za razvoj programske opreme uporabniškega vmesnika, ki razvijalcem omogoča ustvarjanje aplikacij za več platform iz ene kodne baze. To je omembe vreden razvoj, saj akterji groženj pogosto uporabljajo taktike, kot so tehnike izogibanja, zakrivanje in zakasnjeno izvajanje, da bi se izognili odkrivanju v virtualnih okoljih in orodjih za analizo.
Vendar uporaba Flutterja za ustvarjanje zlonamerne programske opreme predstavlja novo raven prefinjenosti. Raziskovalci so ugotovili, da razvijalci zlonamerne programske opreme niso porabili veliko časa za programiranje, temveč so se zanašali na prirojene značilnosti platforme Flutter. To jim je omogočilo, da so ustvarili nevarno in večinoma neodkrito grozečo aplikacijo.
