FluHorse 移动恶意软件

一项针对东亚地区的新电子邮件网络钓鱼活动旨在分发一种名为 FluHorse 的新型 Android 恶意软件。这种特殊的移动恶意软件利用 Flutter 软件开发框架来感染 Android 设备。

该恶意软件通过多个模仿合法应用程序的不安全 Android 应用程序传播。其中许多有害项目的安装量已超过 1,000,000 次，这使得它们特别具有威胁性。当用户下载并安装这些应用程序时，他们会在不知不觉中让恶意软件访问他们的凭据和双因素身份验证 (2FA) 代码。

FluHorse 应用程序旨在与目标地区的流行应用程序相似或完全模仿，例如在台湾和越南广泛使用的 ETC 和 VPBank Neo。证据表明，该活动至少从 2022 年 5 月开始就一直活跃。Check Point 的一份报告中披露了有关 FluHorse Android 恶意软件及其相关活动的详细信息。

FluHorse 使用网络钓鱼策略欺骗受害者

FluHorse 感染链中使用的网络钓鱼方案非常简单 - 攻击者通过向受害者发送包含指向托管不安全 APK 文件的专用网站链接的诈骗电子邮件来引诱受害者。这些网站还包含筛选受害者的检查，只有在访问者的浏览器 User-Agent 字符串与 Android 的匹配时才会发送威胁性应用程序。网络钓鱼电子邮件已发送给一系列知名组织，包括政府机构和大型工业公司的员工。

安装应用程序后，恶意软件会请求 SMS 权限并敦促用户输入他们的凭据和信用卡信息。然后，此信息会被泄露到远程服务器，同时受害者被迫等待几分钟。

更糟糕的是，威胁行为者可以滥用他们对 SMS 消息的访问权限来拦截所有传入的 2FA 代码，并将它们重定向到操作的命令和控制（C2，C＆C）服务器。这允许攻击者绕过依赖 2FA 来保护用户帐户的安全措施。

除了网络钓鱼攻击之外，还发现了一个约会应用程序。据观察，将讲中文的用户重定向到旨在捕获其信用卡信息的流氓登录页面。这进一步凸显了这些攻击带来的危险以及保持警惕并采取适当预防措施保护自己免受网络威胁的重要性。

FluHorse Android 恶意软件难以检测

这种特殊恶意软件的有趣之处在于它是使用 Flutter 实现的，Flutter 是一种开源 UI 软件开发工具包，使开发人员可以从单个代码库创建跨平台应用程序。这是一个值得注意的发展，因为威胁行为者经常使用规避技术、混淆和延迟执行等策略来避免被虚拟环境和分析工具检测到。

然而，使用 Flutter 创建恶意软件代表了一个新的复杂程度。研究人员得出结论，恶意软件开发人员并没有在编程上花费太多时间，而是依赖于 Flutter 平台的先天特性。这使他们能够创建一个危险且基本上未被发现的威胁应用程序。