FluHorse для мобільних шкідливих програм

Нова фішингова кампанія електронної пошти, націлена на регіони Східної Азії, спрямована на розповсюдження нового типу зловмисного програмного забезпечення Android, відомого як FluHorse. Ця конкретна мобільна шкідлива програма використовує переваги фреймворку розробки програмного забезпечення Flutter для зараження пристроїв Android.

Зловмисне програмне забезпечення поширюється через кілька небезпечних програм Android, які імітують законні програми. Багато з цих шкідливих елементів уже досягли понад 1 000 000 встановлень, що робить їх особливо загрозливими. Коли користувачі завантажують і встановлюють ці програми, вони несвідомо надають зловмисним програмам доступ до своїх облікових даних і кодів двофакторної автентифікації (2FA).

Програми FluHorse створені так, щоб виглядати схожими або відверто імітувати популярні програми в цільових регіонах, такі як ETC і VPBank Neo, які широко використовуються на Тайвані та В’єтнамі. Докази свідчать про те, що ця діяльність була активною принаймні з травня 2022 року. Подробиці про зловмисне програмне забезпечення FluHorse для Android і пов’язану з ним активність були розкриті у звіті Check Point.

FluHorse обманює жертв за допомогою тактики фішингу

Схема фішингу, яка використовується в ланцюжку зараження FluHorse, досить проста – зловмисники заманюють жертв, надсилаючи їм шахрайські електронні листи з посиланнями на спеціальний веб-сайт, на якому розміщені небезпечні файли APK. Ці веб-сайти також містять перевірки, які перевіряють жертв, доставляючи загрозливу програму, лише якщо рядок User-Agent у браузері відвідувача збігається з адресою Android. Фішингові електронні листи були надіслані низці відомих організацій, включаючи співробітників державних установ і великих промислових компаній.

Після встановлення програми зловмисне програмне забезпечення запитує дозволи на SMS і закликає користувачів ввести свої облікові дані та дані кредитної картки. Потім ця інформація передається на віддалений сервер, а жертва змушена чекати кілька хвилин.

Що ще гірше, зловмисники можуть зловживати своїм доступом до SMS-повідомлень, щоб перехоплювати всі вхідні коди 2FA та перенаправляти їх на сервер командування та управління (C2, C&C) операції. Це дозволяє зловмисникам обійти заходи безпеки, які покладаються на 2FA для захисту облікових записів користувачів.

Окрім фішингової атаки, також виявлено додаток для знайомств. Було помічено перенаправлення китайськомовних користувачів на шахрайські цільові сторінки, призначені для отримання інформації про їхні кредитні картки. Це ще більше підкреслює небезпеку, яку становлять ці атаки, і важливість залишатися пильним і вживати належних запобіжних заходів, щоб захистити себе від кіберзагроз.

Зловмисне програмне забезпечення Android FluHorse важко виявити

Цікавим у цій конкретній шкідливій програмі є те, що вона реалізована за допомогою Flutter, набору програмного забезпечення для розробки інтерфейсу користувача з відкритим вихідним кодом, який дає змогу розробникам створювати кросплатформні додатки з єдиної кодової бази. Це заслуговує на увагу подія, оскільки суб’єкти загрози часто використовують такі тактики, як методи ухилення, обфускація та відкладене виконання, щоб уникнути виявлення віртуальними середовищами та інструментами аналізу.

Однак використання Flutter для створення шкідливих програм представляє новий рівень складності. Дослідники прийшли до висновку, що розробники шкідливих програм не витрачали багато часу на програмування, а натомість покладалися на вроджені характеристики платформи Flutter. Це дозволило їм створити небезпечну та майже невиявлену загрозливу програму.