Το κακόβουλο λογισμικό FluHorse Mobile στοχεύει ασιατικά θύματα

Μια νέα καμπάνια ηλεκτρονικού "ψαρέματος" έχει στοχεύσει διαφορετικές βιομηχανίες στις αγορές της Ανατολικής Ασίας, διαδίδοντας έναν προηγουμένως άγνωστο τύπο κακόβουλου λογισμικού Android που ονομάζεται FluHorse που εκμεταλλεύεται το πλαίσιο ανάπτυξης λογισμικού Flutter. Το κακόβουλο λογισμικό αποτελείται από πολυάριθμες εφαρμογές Android που μοιάζουν με αυθεντικές εφαρμογές, οι περισσότερες από τις οποίες έχουν πάνω από ένα εκατομμύριο λήψεις.

Αυτές οι κακόβουλες εφαρμογές κλέβουν τα διαπιστευτήρια των θυμάτων και τους κωδικούς ελέγχου ταυτότητας δύο παραγόντων. Οι κακόβουλες εφαρμογές μιμούνται διάσημες εφαρμογές όπως το ETC και το VPBank Neo, οι οποίες είναι διαδεδομένες στο Βιετνάμ και την Ταϊβάν, και το σύστημα είναι ενεργό τουλάχιστον από τον Μάιο του 2022.

Τρόπος λειτουργίας FluHorse

Η απάτη είναι απλή, όπου τα θύματα εξαπατούνται και κάνουν κλικ σε συνδέσμους σε μηνύματα ηλεκτρονικού ταχυδρομείου που τα κατευθύνουν σε ψεύτικους ιστότοπους που φιλοξενούν επιβλαβή αρχεία APK. Οι ιστότοποι περιέχουν ελέγχους που ελέγχουν πιθανά θύματα και παρέχουν την εφαρμογή μόνο εάν η συμβολοσειρά User-Agent του προγράμματος περιήγησής τους αντιστοιχεί σε αυτήν του Android. Μόλις εγκατασταθεί, το κακόβουλο λογισμικό ζητά άδειες SMS και εξαναγκάζει τους χρήστες να εισαγάγουν τα στοιχεία σύνδεσής τους και τα στοιχεία της πιστωτικής τους κάρτας, τα οποία στη συνέχεια κλέβονται και αποστέλλονται σε έναν απομακρυσμένο διακομιστή.

Εν τω μεταξύ, το κακόβουλο λογισμικό παρεμποδίζει όλους τους εισερχόμενους κωδικούς 2FA και τους επαναδρομολογεί στον διακομιστή εντολών και ελέγχου. Επιπλέον, ανακαλύφθηκε μια εφαρμογή γνωριμιών που στέλνει χρήστες που μιλούν κινεζικά σε ψεύτικες σελίδες προορισμού που έχουν δημιουργηθεί για να καταγράφουν πληροφορίες πιστωτικών καρτών. Τα μηνύματα ηλεκτρονικού ψαρέματος έχουν στοχεύσει πολλά αξιόλογα ιδρύματα, συμπεριλαμβανομένων κρατικών υπαλλήλων και μεγάλων βιομηχανικών εταιρειών, με νέες δόλιες εφαρμογές και υποδομές να εμφανίζονται κάθε μήνα.

Το FluHorse κατασκευάστηκε με χρήση του Flutter SDK

Παραδόξως, το κακόβουλο λογισμικό έχει σχεδιαστεί χρησιμοποιώντας το Flutter, ένα κιτ ανάπτυξης λογισμικού UI ανοιχτού κώδικα που επιτρέπει στους προγραμματιστές να δημιουργούν εφαρμογές πολλαπλών πλατφορμών με μία μόνο βάση κώδικα. Παρόλο που οι κακόβουλοι ηθοποιοί χρησιμοποιούν συχνά τακτικές αποφυγής, συσκότισης και παρατεταμένες καθυστερήσεις πριν από την εκτέλεση για να αποφύγουν την ανάλυση και να παρακάμψουν εικονικά περιβάλλοντα, η χρήση του Flutter υποδηλώνει υψηλότερο βαθμό πολυπλοκότητας.