FluHorse Mobil Kötü Amaçlı Yazılım
Doğu Asya bölgelerini hedefleyen yeni bir e-posta kimlik avı kampanyası, FluHorse olarak bilinen yeni bir Android kötü amaçlı yazılım türünü dağıtmayı amaçlıyor. Bu özel mobil kötü amaçlı yazılım, Android cihazları etkilemek için Flutter yazılım geliştirme çerçevesinden yararlanır.
Kötü amaçlı yazılım, meşru uygulamaları taklit eden birkaç güvenli olmayan Android uygulaması aracılığıyla yayıldı. Bu zararlı öğelerin çoğu şimdiden 1.000.000'den fazla yüklemeye ulaştı ve bu da onları özellikle tehdit edici hale getiriyor. Kullanıcılar bu uygulamaları indirip yüklediklerinde, kötü amaçlı yazılıma bilmeden kimlik bilgilerine ve İki Faktörlü Kimlik Doğrulama (2FA) kodlarına erişim izni verirler.
FluHorse uygulamaları, Tayvan ve Vietnam'da yaygın olarak kullanılan ETC ve VPBank Neo gibi popüler uygulamaların benzerlerini veya tamamen taklitlerini hedef bölgelerde gösterecek şekilde tasarlanmıştır. Kanıtlar, bu etkinliğin en az Mayıs 2022'den beri etkin olduğunu gösteriyor. FluHorse Android kötü amaçlı yazılımı ve ilişkili etkinliğiyle ilgili ayrıntılar, Check Point tarafından hazırlanan bir raporda açıklandı.
FluHorse, Kimlik Avı Taktikleriyle Kurbanları Kandırıyor
FluHorse'un bulaşma zincirinde kullanılan kimlik avı planı oldukça basittir - saldırganlar, kurbanlara güvenli olmayan APK dosyalarını barındıran özel bir web sitesine bağlantılar içeren dolandırıcılık e-postaları göndererek onları cezbeder. Bu web siteleri aynı zamanda kurbanları görüntüleyen ve yalnızca ziyaretçinin tarayıcı User-Agent dizesi Android'inkiyle eşleşirse tehdit edici uygulamayı teslim eden kontroller içerir. Kimlik avı e-postaları, devlet kurumlarının ve büyük endüstriyel şirketlerin çalışanları da dahil olmak üzere bir dizi yüksek profilli kuruluşa gönderildi.
Uygulama yüklendikten sonra, kötü amaçlı yazılım SMS izinleri ister ve kullanıcıları kimlik bilgilerini ve kredi kartı bilgilerini girmeye teşvik eder. Bu bilgiler daha sonra uzak bir sunucuya sızarken, kurban birkaç dakika beklemeye zorlanır.
Daha da kötüsü, tehdit aktörleri gelen tüm 2FA kodlarını durdurmak ve onları operasyonun Komuta ve Kontrol (C2, C&C) sunucusuna yönlendirmek için SMS mesajlarına erişimlerini kötüye kullanabilir. Bu, saldırganların kullanıcı hesaplarını korumak için 2FA'ya dayanan güvenlik önlemlerini atlamasına olanak tanır.
Oltalama saldırısına ek olarak bir de flört uygulaması tespit edildi. Çince konuşan kullanıcıların, kredi kartı bilgilerini ele geçirmek için tasarlanmış hileli açılış sayfalarına yönlendirildiği gözlemlendi. Bu, bu saldırıların yarattığı tehlikeyi ve uyanık kalmanın ve kendini siber tehditlerden korumak için uygun önlemleri almanın önemini daha da vurgulamaktadır.
FluHorse Android Kötü Amaçlı Yazılımını Tespit Etmek Zor
Bu kötü amaçlı yazılımın ilginç yanı, geliştiricilerin tek bir kod tabanından platformlar arası uygulamalar oluşturmasını mümkün kılan açık kaynaklı bir UI yazılım geliştirme kiti olan Flutter kullanılarak uygulanmasıdır. Tehdit aktörleri, sanal ortamlar ve analiz araçları tarafından tespit edilmekten kaçınmak için genellikle kaçınma teknikleri, şaşırtma ve gecikmeli yürütme gibi taktikler kullandığından, bu dikkate değer bir gelişmedir.
Bununla birlikte, kötü amaçlı yazılım oluşturmak için Flutter'ı kullanmak, yeni bir karmaşıklık düzeyini temsil eder. Araştırmacılar, kötü amaçlı yazılım geliştiricilerin programlamaya fazla zaman ayırmadıkları, bunun yerine Flutter platformunun doğuştan gelen özelliklerine güvendikleri sonucuna vardılar. Bu, tehlikeli ve büyük ölçüde tespit edilemeyen bir tehdit uygulaması oluşturmalarına izin verdi.
