FluHorse モバイル マルウェアがアジアの被害者を狙う

新しい電子メール フィッシング キャンペーンは、Flutter ソフトウェア開発フレームワークを悪用する FluHorse という、これまで知られていなかったタイプの Android マルウェアを拡散することにより、東アジア市場のさまざまな業界を標的にしています。このマルウェアは、本物のアプリケーションに似た多数の Android アプリケーションで構成されており、そのほとんどは 100 万回以上ダウンロードされています。

これらの悪意のあるアプリは、被害者の資格情報と 2 要素認証コードを盗みます。悪意のあるアプリは、ETC や VPBank Neo など、ベトナムと台湾で流行している有名なアプリを模倣しており、このスキームは少なくとも 2022 年 5 月から活動していました。

FluHorse の動作モード

詐欺は単純で、被害者はだまされて電子メール内のリンクをクリックし、有害な APK ファイルをホストする偽の Web サイトに誘導します。これらのサイトには、潜在的な被害者を選別し、ブラウザの User-Agent 文字列が Android の文字列と一致する場合にのみアプリを提供するチェックが含まれています。マルウェアがインストールされると、SMS のアクセス許可を要求し、ユーザーにログインの詳細とクレジット カード情報を入力するように強制します。これらの情報は盗まれ、リモート サーバーに送信されます。

その間、マルウェアはすべての着信 2FA コードを傍受し、それらをコマンド アンド コントロール サーバーに再ルーティングします。さらに、中国語を話すユーザーを、クレジット カード情報を取得するために作成された偽のランディング ページに誘導する出会い系アプリが発見されました。フィッシング メールは、政府職員や大規模な産業企業など、多くの著名な機関を標的にしており、新しい不正なアプリやインフラストラクチャが毎月出現しています。

Flutter SDK を使用して構築された FluHorse

驚くべきことに、このマルウェアは、オープンソースの UI ソフトウェア開発キットである Flutter を使用して設計されており、開発者は単一のコードベースでクロスプラットフォーム アプリを作成できます。悪意のあるアクターは、分析を回避して仮想環境をバイパスするために、回避戦術、難読化、および実行前の長時間の遅延を頻繁に使用しますが、Flutter の使用は高度な洗練を示しています。