Malware FluHorse Mobile

Një fushatë e re phishing me email që synon rajonet e Azisë Lindore synon të shpërndajë një lloj të ri malware Android të njohur si FluHorse. Ky malware i veçantë celular përfiton nga kuadri i zhvillimit të softuerit Flutter për të infektuar pajisjet Android.

Malware u përhap përmes disa aplikacioneve të pasigurta Android që imitojnë aplikacione legjitime. Shumë prej këtyre artikujve të dëmshëm kanë arritur tashmë mbi 1,000,000 instalime, gjë që i bën ato veçanërisht kërcënuese. Kur përdoruesit i shkarkojnë dhe instalojnë këto aplikacione, ata pa e ditur i japin malware qasje në kredencialet e tyre dhe kodet e vërtetimit me dy faktorë (2FA).

Aplikacionet FluHorse janë krijuar për t'u dukur të ngjashme ose të imitojnë plotësisht aplikacione të njohura në rajonet e synuara, si ETC dhe VPBank Neo, të cilat përdoren gjerësisht në Tajvan dhe Vietnam. Provat tregojnë se ky aktivitet ka qenë aktiv të paktën që nga maji i vitit 2022. Detaje rreth malware të FluHorse Android dhe aktivitetit të lidhur me të u zbuluan në një raport nga Check Point.

FluHorse truket viktimat me taktikat e phishing

Skema e phishing e përdorur në zinxhirin e infeksionit të FluHorse është mjaft e drejtpërdrejtë - sulmuesit joshin viktimat duke u dërguar atyre emaile mashtruese që përmbajnë lidhje në një faqe interneti të dedikuar që pret skedarë të pasigurt APK. Këto faqe interneti përmbajnë gjithashtu kontrolle që shfaqin viktimat, duke ofruar aplikacionin kërcënues vetëm nëse vargu i përdoruesit-Agjent i shfletuesit të vizitorit përputhet me atë të Android. Emailet e phishing janë dërguar në një sërë organizatash të profilit të lartë, duke përfshirë punonjës të agjencive qeveritare dhe kompanive të mëdha industriale.

Pasi të instalohet aplikacioni, malware kërkon leje SMS dhe i nxit përdoruesit të fusin kredencialet e tyre dhe informacionin e kartës së kreditit. Ky informacion më pas eksfiltohet në një server të largët, ndërsa viktima detyrohet të presë për disa minuta.

Për t'i bërë gjërat edhe më keq, aktorët e kërcënimit mund të abuzojnë me aksesin e tyre në mesazhet SMS për të kapur të gjithë kodet hyrëse 2FA dhe për t'i ridrejtuar ato te serveri Command-and-Control (C2, C&C) i operacionit. Kjo i lejon sulmuesit të anashkalojnë masat e sigurisë që mbështeten në 2FA për të mbrojtur llogaritë e përdoruesve.

Përveç sulmit të phishing, u identifikua edhe një aplikacion takimesh. U vu re duke ridrejtuar përdoruesit që flasin kinezisht në faqet mashtruese të uljes, të dizajnuara për të kapur informacionin e kartës së tyre të kreditit. Kjo thekson më tej rrezikun e paraqitur nga këto sulme dhe rëndësinë e të qenit vigjilent dhe të marrjes së masave të duhura për t'u mbrojtur nga kërcënimet kibernetike.

Malware-i FluHorse Android është i vështirë për t'u zbuluar

Ajo që është interesante në lidhje me këtë malware të veçantë është se ai zbatohet duke përdorur Flutter, një komplet i zhvillimit të softuerit UI me burim të hapur që bën të mundur që zhvilluesit të krijojnë aplikacione ndër-platformë nga një bazë e vetme kodi. Ky është një zhvillim i rëndësishëm pasi aktorët e kërcënimit shpesh përdorin taktika të tilla si teknikat e evazionit, errësimin dhe ekzekutimin e vonuar për të shmangur zbulimin nga mjediset virtuale dhe mjetet e analizës.

Megjithatë, përdorimi i Flutter për të krijuar malware përfaqëson një nivel të ri sofistikimi. Studiuesit kanë arritur në përfundimin se zhvilluesit e malware nuk shpenzuan shumë kohë në programim, por në vend të kësaj u mbështetën në karakteristikat e lindura të platformës Flutter. Kjo i lejoi ata të krijonin një aplikacion kërcënues të rrezikshëm dhe kryesisht të pazbuluar.