ФлуХорсе Мобиле Малваре

Нова кампања за крађу идентитета путем е-поште која циља регионе источне Азије има за циљ да дистрибуира нови сој Андроид малвера познат као ФлуХорсе. Овај конкретан мобилни малвер користи предности оквира за развој софтвера Флуттер да инфицира Андроид уређаје.

Малвер се проширио кроз неколико несигурних Андроид апликација које опонашају легитимне апликације. Многи од ових штетних ставки су већ достигли преко 1.000.000 инсталација, што их чини посебно опасним. Када корисници преузму и инсталирају ове апликације, они несвесно дају злонамерном софтверу приступ својим акредитивима и кодовима за проверу идентитета у два фактора (2ФА).

ФлуХорсе апликације су дизајниране да изгледају слично или потпуно имитирају популарне апликације у циљаним регионима, као што су ЕТЦ и ВПБанк Нео, које се широко користе на Тајвану и Вијетнаму. Докази показују да је ова активност активна најмање од маја 2022. Детаљи о ФлуХорсе Андроид малверу и повезаним активностима откривени су у извештају Цхецк Поинт-а.

ФлуХорсе вара жртве тактиком пхисхинга

Шема за крађу идентитета која се користи у ланцу заразе ФлуХорсе-а је прилично јасна – нападачи намамљују жртве тако што им шаљу е-поруке за превару које садрже линкове ка наменској веб локацији на којој се налазе несигурне АПК датотеке. Ови веб-сајтови такође садрже провере које проверавају жртве, испоручујући претећу апликацију само ако се стринг Усер-Агент претраживача посетиоца подудара са оним на Андроид-у. Е-поруке за пхисхинг су послате низу организација високог профила, укључујући запослене у владиним агенцијама и великим индустријским компанијама.

Када се апликација инсталира, злонамерни софтвер тражи дозволе за СМС и позива кориснике да унесу своје акредитиве и податке о кредитној картици. Ове информације се затим ексфилтрирају на удаљени сервер док је жртва приморана да чека неколико минута.

Да ствар буде још гора, актери претњи могу да злоупотребе свој приступ СМС порукама да пресретну све долазне 2ФА кодове и преусмере их на сервер за команду и контролу (Ц2, Ц&Ц) операције. Ово омогућава нападачима да заобиђу безбедносне мере које се ослањају на 2ФА за заштиту корисничких налога.

Поред пхисхинг напада, идентификована је и апликација за упознавање. Примећено је преусмеравање корисника који говоре кинески на лажне одредишне странице дизајниране да прихвате информације о њиховим кредитним картицама. Ово додатно наглашава опасност коју представљају ови напади и важност задржавања будности и предузимања одговарајућих мера предострожности како бисте се заштитили од сајбер претњи.

ФлуХорсе Андроид малвер је тешко открити

Оно што је интересантно у вези са овим конкретним злонамерним софтвером је то што је имплементиран помоћу Флуттер-а, комплета за развој софтвера отвореног кода који омогућава програмерима да креирају вишеплатформске апликације из једне базе кода. Ово је значајан развој догађаја јер актери претњи често користе тактике као што су технике избегавања, замагљивање и одложено извршење како би избегли откривање виртуелним окружењима и алатима за анализу.

Међутим, коришћење Флуттер-а за креирање малвера представља нови ниво софистицираности. Истраживачи су закључили да програмери малвера нису трошили много времена на програмирање, већ су се уместо тога ослањали на урођене карактеристике Флуттер платформе. То им је омогућило да створе опасну и углавном неоткривену претећу апликацију.