Phần mềm độc hại di động FluHorse

Một chiến dịch lừa đảo qua email mới nhắm vào các khu vực Đông Á nhằm phân phối một dòng phần mềm độc hại Android mới có tên là FluHorse. Phần mềm độc hại dành cho thiết bị di động cụ thể này lợi dụng khung phát triển phần mềm Flutter để lây nhiễm các thiết bị Android.

Phần mềm độc hại lây lan qua một số ứng dụng Android không an toàn bắt chước các ứng dụng hợp pháp. Nhiều mục có hại trong số này đã đạt hơn 1.000.000 lượt cài đặt, điều này khiến chúng trở nên đặc biệt nguy hiểm. Khi người dùng tải xuống và cài đặt các ứng dụng này, họ đã vô tình cấp cho phần mềm độc hại quyền truy cập vào thông tin đăng nhập và mã Xác thực hai yếu tố (2FA) của họ.

Các ứng dụng FluHorse được thiết kế để trông tương tự hoặc bắt chước hoàn toàn các ứng dụng phổ biến ở các khu vực được nhắm mục tiêu, chẳng hạn như ETC và VPBank Neo, được sử dụng rộng rãi ở Đài Loan và Việt Nam. Bằng chứng cho thấy rằng hoạt động này đã hoạt động ít nhất là từ tháng 5 năm 2022. Thông tin chi tiết về phần mềm độc hại FluHorse Android và hoạt động liên quan của nó đã được Check Point tiết lộ trong một báo cáo.

FluHorse lừa nạn nhân bằng các chiến thuật lừa đảo

Mưu đồ lừa đảo được sử dụng trong chuỗi lây nhiễm FluHorse khá đơn giản - những kẻ tấn công dụ dỗ nạn nhân bằng cách gửi cho họ các email lừa đảo có chứa liên kết đến một trang web chuyên dụng lưu trữ các tệp APK không an toàn. Các trang web này cũng chứa các kiểm tra sàng lọc nạn nhân, chỉ phân phối ứng dụng đe dọa nếu chuỗi Tác nhân người dùng của trình duyệt của khách truy cập khớp với chuỗi của Android. Các email lừa đảo đã được gửi đến một loạt các tổ chức nổi tiếng, bao gồm nhân viên của các cơ quan chính phủ và các công ty công nghiệp lớn.

Sau khi ứng dụng được cài đặt, phần mềm độc hại yêu cầu quyền SMS và thúc giục người dùng nhập thông tin đăng nhập và thông tin thẻ tín dụng của họ. Thông tin này sau đó được chuyển đến một máy chủ từ xa trong khi nạn nhân buộc phải đợi trong vài phút.

Tệ hơn nữa, các tác nhân đe dọa có thể lạm dụng quyền truy cập của chúng vào tin nhắn SMS để chặn tất cả các mã 2FA gửi đến và chuyển hướng chúng đến máy chủ Command-and-Control (C2, C&C) của hoạt động. Điều này cho phép kẻ tấn công bỏ qua các biện pháp bảo mật dựa trên 2FA để bảo vệ tài khoản người dùng.

Ngoài cuộc tấn công lừa đảo, một ứng dụng hẹn hò cũng được xác định. Người ta quan sát thấy nó chuyển hướng người dùng nói tiếng Trung Quốc đến các trang đích giả mạo được thiết kế để lấy thông tin thẻ tín dụng của họ. Điều này càng làm nổi bật mối nguy hiểm do các cuộc tấn công này gây ra và tầm quan trọng của việc duy trì cảnh giác và thực hiện các biện pháp phòng ngừa thích hợp để bảo vệ bản thân khỏi các mối đe dọa trên mạng.

Phần mềm độc hại Android FluHorse rất khó phát hiện

Điều thú vị về phần mềm độc hại cụ thể này là nó được triển khai bằng Flutter, một bộ công cụ phát triển phần mềm giao diện người dùng nguồn mở giúp các nhà phát triển có thể tạo các ứng dụng đa nền tảng từ một cơ sở mã duy nhất. Đây là một sự phát triển đáng chú ý vì các tác nhân đe dọa thường sử dụng các chiến thuật như kỹ thuật trốn tránh, che giấu và trì hoãn thực thi để tránh bị môi trường ảo và các công cụ phân tích phát hiện.

Tuy nhiên, việc sử dụng Flutter để tạo phần mềm độc hại thể hiện một mức độ tinh vi mới. Các nhà nghiên cứu đã kết luận rằng các nhà phát triển phần mềm độc hại đã không dành nhiều thời gian cho việc lập trình mà thay vào đó dựa vào các đặc điểm bẩm sinh của nền tảng Flutter. Điều này cho phép họ tạo ra một ứng dụng đe dọa nguy hiểm và phần lớn không bị phát hiện.