FluHorse mobil skadlig programvara

En ny nätfiskekampanj med e-post riktad mot östasiatiska regioner syftar till att distribuera en ny stam av Android-skadlig programvara känd som FluHorse. Denna speciella mobila skadliga programvara drar fördel av Flutters mjukvaruutvecklingsramverk för att infektera Android-enheter.

Skadlig programvara spreds genom flera osäkra Android-applikationer som efterliknar legitima applikationer. Många av dessa skadliga föremål har redan nått över 1 000 000 installationer, vilket gör dem särskilt hotfulla. När användare laddar ner och installerar dessa applikationer ger de omedvetet skadlig programvara tillgång till sina referenser och 2FA-koder (Two-Factor Authentication).

FluHorse-applikationerna är designade för att verka liknande eller direkt imitera populära appar i de riktade regionerna, såsom ETC och VPBank Neo, som används flitigt i Taiwan och Vietnam. Bevis visar att denna aktivitet har varit aktiv sedan åtminstone maj 2022. Detaljer om FluHorse Android-skadlig programvara och dess associerade aktivitet avslöjades i en rapport från Check Point.

FluHorse lurar offer med nätfisketaktik

Nätfiskeschemat som används i FluHorses infektionskedja är ganska okomplicerat - angripare lockar offer genom att skicka dem bluffmejl som innehåller länkar till en dedikerad webbplats som är värd för osäkra APK-filer. Dessa webbplatser innehåller också kontroller som visar offer, endast levererar den hotande applikationen om besökarens webbläsare User-Agent-sträng matchar den för Android. Nätfiskemailen har skickats till en rad högprofilerade organisationer, inklusive anställda på statliga myndigheter och stora industriföretag.

När applikationen är installerad begär skadlig programvara SMS-behörigheter och uppmanar användarna att ange sina autentiseringsuppgifter och kreditkortsinformation. Denna information exfiltreras sedan till en fjärrserver medan offret tvingas vänta i flera minuter.

För att göra saken värre kan hotaktörerna missbruka sin åtkomst till SMS-meddelanden för att fånga upp alla inkommande 2FA-koder och omdirigera dem till operationens Command-and-Control-server (C2, C&C). Detta gör att angriparna kan kringgå säkerhetsåtgärder som förlitar sig på 2FA för att skydda användarkonton.

Utöver nätfiskeattacken identifierades även en dejtingapp. Det observerades att omdirigera kinesisktalande användare till oseriösa målsidor utformade för att fånga deras kreditkortsinformation. Detta understryker ytterligare den fara som dessa attacker utgör och vikten av att vara vaksam och vidta lämpliga försiktighetsåtgärder för att skydda sig mot cyberhot.

FluHorse Android Malware är svår att upptäcka

Det som är intressant med just den här skadliga programvaran är att den implementeras med Flutter, ett UI-programutvecklingskit med öppen källkod som gör det möjligt för utvecklare att skapa plattformsoberoende applikationer från en enda kodbas. Detta är en anmärkningsvärd utveckling eftersom hotaktörer ofta använder taktik som undanflyktstekniker, förvirring och försenad exekvering för att undvika upptäckt av virtuella miljöer och analysverktyg.

Men att använda Flutter för att skapa skadlig programvara representerar en ny nivå av sofistikering. Forskarna har kommit fram till att utvecklarna av skadlig programvara inte spenderade mycket tid på programmering utan istället förlitade sig på Flutter-plattformens medfödda egenskaper. Detta gjorde det möjligt för dem att skapa en farlig och till stor del oupptäckt hotfull applikation.