FluHorse Mobile Malware
Ang isang bagong email phishing campaign na nagta-target sa mga rehiyon ng East Asia ay naglalayong ipamahagi ang isang bagong strain ng Android malware na kilala bilang FluHorse. Sinasamantala ng partikular na mobile malware na ito ang Flutter software development framework para mahawahan ang mga Android device.
Kumalat ang malware sa ilang hindi ligtas na Android application na ginagaya ang mga lehitimong application. Marami sa mga mapaminsalang bagay na ito ay umabot na sa mahigit 1,000,000 pag-install, na ginagawang partikular na nagbabanta sa kanila. Kapag nag-download at nag-install ang mga user ng mga application na ito, hindi nila alam na binibigyan nila ng access ang malware sa kanilang mga kredensyal at mga code ng Two-Factor Authentication (2FA).
Ang mga application ng FluHorse ay idinisenyo upang lumitaw na katulad o tahasang gayahin ang mga sikat na app sa mga target na rehiyon, gaya ng ETC at VPBank Neo, na malawakang ginagamit sa Taiwan at Vietnam. Ipinapakita ng ebidensya na naging aktibo ang aktibidad na ito mula noong Mayo 2022. Ang mga detalye tungkol sa FluHorse Android malware at ang nauugnay na aktibidad nito ay inihayag sa isang ulat ng Check Point.
Mga Biktima ng FluHorse Tricks gamit ang Phishing Tactics
Ang pamamaraan ng phishing na ginamit sa chain ng impeksyon ng FluHorse ay medyo diretso - ang mga umaatake ay umaakit sa mga biktima sa pamamagitan ng pagpapadala sa kanila ng mga email ng scam na naglalaman ng mga link sa isang nakatuong website na nagho-host ng mga hindi ligtas na APK file. Naglalaman din ang mga website na ito ng mga pagsusuri na nagsasala ng mga biktima, na naghahatid lamang ng nagbabantang application kung ang string ng User-Agent ng browser ng bisita ay tumutugma sa string ng Android. Ang mga phishing na email ay naipadala sa isang hanay ng mga high-profile na organisasyon, kabilang ang mga empleyado ng mga ahensya ng gobyerno at malalaking pang-industriya na kumpanya.
Kapag na-install na ang application, humihiling ang malware ng mga pahintulot sa SMS at hinihimok ang mga user na ipasok ang kanilang mga kredensyal at impormasyon ng credit card. Ang impormasyong ito ay pagkatapos ay i-exfiltrate sa isang malayong server habang ang biktima ay napipilitang maghintay ng ilang minuto.
Ang masama pa nito, maaaring abusuhin ng mga banta ng aktor ang kanilang pag-access sa mga mensaheng SMS para maharang ang lahat ng papasok na 2FA code at i-redirect ang mga ito sa Command-and-Control (C2, C&C) server ng operasyon. Nagbibigay-daan ito sa mga umaatake na i-bypass ang mga hakbang sa seguridad na umaasa sa 2FA para protektahan ang mga user account.
Bilang karagdagan sa pag-atake sa phishing, natukoy din ang isang dating app. Naobserbahan ang pag-redirect ng mga user na nagsasalita ng Chinese sa mga rogue na landing page na idinisenyo upang makuha ang impormasyon ng kanilang credit card. Higit nitong itinatampok ang panganib na dulot ng mga pag-atakeng ito at ang kahalagahan ng pananatiling mapagbantay at pagsasagawa ng naaangkop na pag-iingat upang maprotektahan ang sarili mula sa mga banta sa cyber.
Ang FluHorse Android Malware ay Mahirap Matukoy
Ang kawili-wili sa partikular na malware na ito ay ipinatupad ito gamit ang Flutter, isang open-source UI software development kit na ginagawang posible para sa mga developer na lumikha ng mga cross-platform na application mula sa isang codebase. Ito ay isang kapansin-pansing pag-unlad dahil ang mga aktor ng pagbabanta ay madalas na gumagamit ng mga taktika tulad ng mga diskarte sa pag-iwas, pagkataranta, at pagkaantala ng pagpapatupad upang maiwasan ang pagtuklas ng mga virtual na kapaligiran at mga tool sa pagsusuri.
Gayunpaman, ang paggamit ng Flutter upang lumikha ng malware ay kumakatawan sa isang bagong antas ng pagiging sopistikado. Napagpasyahan ng mga mananaliksik na ang mga developer ng malware ay hindi gumugol ng maraming oras sa programming ngunit sa halip ay umasa sa mga likas na katangian ng Flutter platform. Ito ay nagbigay-daan sa kanila na lumikha ng isang mapanganib at higit na hindi natukoy na pagbabanta na aplikasyon.
