FluHorse 移動惡意軟件

一項針對東亞地區的新電子郵件網絡釣魚活動旨在分發一種名為 FluHorse 的新型 Android 惡意軟件。這種特殊的移動惡意軟件利用 Flutter 軟件開發框架來感染 Android 設備。

該惡意軟件通過多個模仿合法應用程序的不安全 Android 應用程序傳播。其中許多有害項目的安裝量已超過 1,000,000 次，這使得它們特別具有威脅性。當用戶下載並安裝這些應用程序時，他們會在不知不覺中讓惡意軟件訪問他們的憑據和雙因素身份驗證 (2FA) 代碼。

FluHorse 應用程序旨在與目標地區的流行應用程序相似或完全模仿，例如在台灣和越南廣泛使用的 ETC 和 VPBank Neo。證據表明，該活動至少從 2022 年 5 月開始就一直活躍。Check Point 的一份報告中披露了有關 FluHorse Android 惡意軟件及其相關活動的詳細信息。

FluHorse 使用網絡釣魚策略欺騙受害者

FluHorse 感染鏈中使用的網絡釣魚方案非常簡單 - 攻擊者通過向受害者發送包含指向託管不安全 APK 文件的專用網站鏈接的詐騙電子郵件來引誘受害者。這些網站還包含篩選受害者的檢查，只有在訪問者的瀏覽器 User-Agent 字符串與 Android 的匹配時才會發送威脅性應用程序。網絡釣魚電子郵件已發送給一系列知名組織，包括政府機構和大型工業公司的員工。

安裝應用程序後，惡意軟件會請求 SMS 權限並敦促用戶輸入他們的憑據和信用卡信息。然後，此信息會被洩露到遠程服務器，同時受害者被迫等待幾分鐘。

更糟糕的是，威脅行為者可以濫用他們對 SMS 消息的訪問權限來攔截所有傳入的 2FA 代碼，並將它們重定向到操作的命令和控制（C2，C＆C）服務器。這允許攻擊者繞過依賴 2FA 來保護用戶帳戶的安全措施。

除了網絡釣魚攻擊之外，還發現了一個約會應用程序。據觀察，將講中文的用戶重定向到旨在捕獲其信用卡信息的流氓登錄頁面。這進一步凸顯了這些攻擊帶來的危險以及保持警惕並採取適當預防措施保護自己免受網絡威脅的重要性。

FluHorse Android 惡意軟件難以檢測

這種特殊惡意軟件的有趣之處在於它是使用 Flutter 實現的，Flutter 是一種開源 UI 軟件開發工具包，使開發人員可以從單個代碼庫創建跨平台應用程序。這是一個值得注意的發展，因為威脅行為者經常使用規避技術、混淆和延遲執行等策略來避免被虛擬環境和分析工具檢測到。

然而，使用 Flutter 創建惡意軟件代表了一個新的複雜程度。研究人員得出結論，惡意軟件開發人員並沒有在編程上花費太多時間，而是依賴於 Flutter 平台的先天特性。這使他們能夠創建一個危險且基本上未被發現的威脅應用程序。