A FluHorse Mobile Malware ázsiai áldozatokat jelöl meg

Egy újszerű e-mailes adathalász kampány a kelet-ázsiai piacok különböző iparágait célozta meg egy korábban ismeretlen típusú, FluHorse nevű Android rosszindulatú program terjesztésével, amely a Flutter szoftverfejlesztési keretrendszert használja ki. A kártevő számos Android-alkalmazásból áll, amelyek hasonlítanak az autentikus alkalmazásokhoz, amelyek többsége több mint egymillió letöltéssel rendelkezik.

Ezek a rosszindulatú alkalmazások ellopják az áldozatok hitelesítő adatait és kéttényezős hitelesítési kódjait. A rosszindulatú alkalmazások olyan híres alkalmazásokat utánoznak, mint az ETC és a VPBank Neo, amelyek elterjedtek Vietnamban és Tajvanon, és a rendszer legalább 2022 májusa óta aktív.

FluHorse üzemmód

Az átverés egyszerű: az áldozatokat ráveszik arra, hogy rákattintsanak az e-mailekben található hivatkozásokra, amelyek káros APK-fájlokat tároló hamis webhelyekre irányítják őket. Az oldalak ellenőrzéseket tartalmaznak, amelyek kiszűrik a potenciális áldozatokat, és csak akkor biztosítják az alkalmazást, ha a böngésző felhasználói ügynök karakterlánca megegyezik az Android karakterláncával. A telepítés után a rosszindulatú program SMS-engedélyeket kér, és arra kényszeríti a felhasználókat, hogy adják meg bejelentkezési adataikat és hitelkártyaadataikat, amelyeket aztán ellopnak és elküldenek egy távoli szerverre.

Eközben a rosszindulatú program elfog minden bejövő 2FA kódot, és átirányítja azokat a parancs- és vezérlőszerverre. Ezenkívül felfedeztek egy társkereső alkalmazást, amely a kínaiul beszélő felhasználókat a hitelkártyaadatok rögzítésére létrehozott hamis nyitóoldalakra küldi. Az adathalász e-mailek számos figyelemre méltó intézményt céloztak meg, beleértve a kormányzati alkalmazottakat és a nagy ipari cégeket, és minden hónapban új hamis alkalmazások és infrastruktúra jelennek meg.

A Flutter SDK használatával épített FluHorse

Meglepő módon a rosszindulatú program a Flutter, egy nyílt forráskódú UI szoftverfejlesztő készlet felhasználásával készült, amely lehetővé teszi a fejlesztők számára, hogy platformokon átívelő alkalmazásokat hozzanak létre egyetlen kódbázissal. Annak ellenére, hogy a rosszindulatú szereplők gyakran alkalmaznak kijátszási taktikákat, homályosítást és elhúzódó késleltetést a végrehajtás előtt, hogy elkerüljék az elemzést és megkerüljék a virtuális környezeteket, a Flutter használata magasabb fokú kifinomultságot jelez.