มัลแวร์มือถือ FluHorse

แคมเปญอีเมลฟิชชิ่งใหม่ที่กำหนดเป้าหมายไปยังภูมิภาคเอเชียตะวันออกมีเป้าหมายเพื่อเผยแพร่มัลแวร์ Android สายพันธุ์ใหม่ที่รู้จักกันในชื่อ FluHorse มัลแวร์มือถือนี้ใช้ประโยชน์จากเฟรมเวิร์กการพัฒนาซอฟต์แวร์ Flutter เพื่อแพร่เชื้อไปยังอุปกรณ์ Android

มัลแวร์แพร่กระจายผ่านแอปพลิเคชัน Android ที่ไม่ปลอดภัยหลายตัวซึ่งเลียนแบบแอปพลิเคชันที่ถูกต้องตามกฎหมาย รายการที่เป็นอันตรายเหล่านี้จำนวนมากมีการติดตั้งมากกว่า 1,000,000 ครั้งแล้ว ซึ่งทำให้รายการเหล่านี้เป็นอันตรายอย่างยิ่ง เมื่อผู้ใช้ดาวน์โหลดและติดตั้งแอปพลิเคชันเหล่านี้ พวกเขาจะให้มัลแวร์เข้าถึงข้อมูลประจำตัวและรหัสการยืนยันตัวตนแบบสองปัจจัย (2FA) โดยไม่รู้ตัว

แอปพลิเคชัน FluHorse ได้รับการออกแบบให้มีลักษณะคล้ายหรือเลียนแบบแอปยอดนิยมในภูมิภาคที่เป็นเป้าหมาย เช่น ETC และ VPBank Neo ซึ่งใช้กันอย่างแพร่หลายในไต้หวันและเวียดนาม หลักฐานแสดงให้เห็นว่ากิจกรรมนี้มีการใช้งานตั้งแต่เดือนพฤษภาคม 2022 เป็นอย่างน้อย รายละเอียดเกี่ยวกับมัลแวร์ FluHorse Android และกิจกรรมที่เกี่ยวข้องได้รับการเปิดเผยในรายงานโดย Check Point

FluHorse หลอกลวงเหยื่อด้วยกลยุทธ์ฟิชชิ่ง

รูปแบบฟิชชิ่งที่ใช้ในห่วงโซ่การติดเชื้อของ FluHorse นั้นค่อนข้างตรงไปตรงมา - ผู้โจมตีหลอกล่อเหยื่อด้วยการส่งอีเมลหลอกลวงที่มีลิงก์ไปยังเว็บไซต์เฉพาะที่โฮสต์ไฟล์ APK ที่ไม่ปลอดภัย เว็บไซต์เหล่านี้ยังมีการตรวจสอบคัดกรองผู้ที่ตกเป็นเหยื่อ โดยส่งเฉพาะแอปพลิเคชันคุกคามหากสตริง User-Agent ของเบราว์เซอร์ของผู้เยี่ยมชมตรงกับของ Android อีเมลฟิชชิ่งถูกส่งไปยังองค์กรที่มีชื่อเสียงหลายแห่ง รวมถึงพนักงานของหน่วยงานรัฐบาลและบริษัทอุตสาหกรรมขนาดใหญ่

เมื่อติดตั้งแอปพลิเคชันแล้ว มัลแวร์จะร้องขอสิทธิ์ทาง SMS และกระตุ้นให้ผู้ใช้ป้อนข้อมูลประจำตัวและข้อมูลบัตรเครดิต ข้อมูลนี้จะถูกส่งไปยังเซิร์ฟเวอร์ระยะไกลในขณะที่เหยื่อถูกบังคับให้รอเป็นเวลาหลายนาที

ยิ่งไปกว่านั้น ผู้คุกคามสามารถใช้การเข้าถึงข้อความ SMS ในทางที่ผิดเพื่อสกัดกั้นรหัส 2FA ที่เข้ามาทั้งหมด และเปลี่ยนเส้นทางไปยังเซิร์ฟเวอร์ Command-and-Control (C2, C&C) ของการดำเนินการ ซึ่งช่วยให้ผู้โจมตีสามารถข้ามมาตรการรักษาความปลอดภัยที่ใช้ 2FA เพื่อปกป้องบัญชีผู้ใช้ได้

นอกจากการโจมตีแบบฟิชชิงแล้ว ยังพบแอปหาคู่อีกด้วย พบว่ามีการเปลี่ยนเส้นทางผู้ใช้ที่พูดภาษาจีนไปยังหน้า Landing Page อันหลอกลวงที่ออกแบบมาเพื่อเก็บข้อมูลบัตรเครดิตของพวกเขา สิ่งนี้ยังเน้นให้เห็นถึงอันตรายที่เกิดจากการโจมตีเหล่านี้และความสำคัญของการระมัดระวังตัวและการใช้มาตรการป้องกันที่เหมาะสมเพื่อป้องกันตนเองจากภัยคุกคามทางไซเบอร์

มัลแวร์ FluHorse Android ตรวจจับได้ยาก

สิ่งที่น่าสนใจเกี่ยวกับมัลแวร์ชนิดนี้คือ มันถูกนำไปใช้โดยใช้ Flutter ซึ่งเป็นชุดพัฒนาซอฟต์แวร์ UI แบบโอเพ่นซอร์สที่ทำให้นักพัฒนาสามารถสร้างแอปพลิเคชันข้ามแพลตฟอร์มจากโค้ดเบสเดียวได้ นี่เป็นการพัฒนาที่น่าจดจำ เนื่องจากผู้คุกคามมักใช้กลยุทธ์ เช่น เทคนิคการหลบเลี่ยง การทำให้สับสน และการดำเนินการที่ล่าช้าเพื่อหลีกเลี่ยงการตรวจจับโดยสภาพแวดล้อมเสมือนจริงและเครื่องมือวิเคราะห์

อย่างไรก็ตาม การใช้ Flutter เพื่อสร้างมัลแวร์แสดงถึงความซับซ้อนในระดับใหม่ นักวิจัยได้ข้อสรุปว่านักพัฒนามัลแวร์ไม่ได้ใช้เวลามากในการเขียนโปรแกรม แต่อาศัยลักษณะเฉพาะของแพลตฟอร์ม Flutter แทน สิ่งนี้ทำให้พวกเขาสร้างแอปพลิเคชันคุกคามที่เป็นอันตรายและตรวจไม่พบเป็นส่วนใหญ่