Mobilne złośliwe oprogramowanie FluHorse atakuje ofiary w Azji

Nowatorska kampania phishingowa skierowana do różnych branż na rynkach Azji Wschodniej polegała na rozpowszechnianiu nieznanego wcześniej typu złośliwego oprogramowania dla systemu Android o nazwie FluHorse, które wykorzystuje platformę programistyczną Flutter. Szkodliwe oprogramowanie składa się z wielu aplikacji na Androida, które przypominają autentyczne aplikacje, z których większość ma ponad milion pobrań.

Te złośliwe aplikacje kradną dane uwierzytelniające ofiar i kody uwierzytelniania dwuskładnikowego. Złośliwe aplikacje naśladują znane aplikacje, takie jak ETC i VPBank Neo, które są rozpowszechnione w Wietnamie i na Tajwanie, a schemat jest aktywny co najmniej od maja 2022 roku.

Tryb działania FluHorse

Oszustwo jest proste, polega na tym, że ofiary są nakłaniane do klikania linków w wiadomościach e-mail, które kierują je do fałszywych stron internetowych zawierających szkodliwe pliki APK. Witryny zawierają kontrole, które sprawdzają potencjalne ofiary i udostępniają aplikację tylko wtedy, gdy ich ciąg User-Agent w przeglądarce odpowiada ciągowi Androida. Po zainstalowaniu złośliwe oprogramowanie prosi o uprawnienia SMS-owe i zmusza użytkowników do wprowadzenia danych logowania oraz informacji o karcie kredytowej, które są następnie kradzione i wysyłane na zdalny serwer.

Tymczasem złośliwe oprogramowanie przechwytuje wszystkie przychodzące kody 2FA i przekierowuje je do serwera dowodzenia i kontroli. Ponadto wykryto aplikację randkową, która odsyła chińskojęzycznych użytkowników do fałszywych stron docelowych stworzonych w celu przechwycenia informacji o kartach kredytowych. E-maile phishingowe były celem wielu znaczących instytucji, w tym pracowników rządowych i dużych firm przemysłowych, a co miesiąc pojawiały się nowe oszukańcze aplikacje i infrastruktura.

FluHorse zbudowany przy użyciu Flutter SDK

Co zaskakujące, złośliwe oprogramowanie zostało zaprojektowane przy użyciu Flutter, zestawu programistycznego interfejsu użytkownika o otwartym kodzie źródłowym, który umożliwia programistom tworzenie aplikacji międzyplatformowych z jedną bazą kodu. Mimo że złośliwi aktorzy często stosują taktyki unikania, zaciemniania i przedłużające się opóźnienia przed wykonaniem, aby uniknąć analizy i ominąć środowiska wirtualne, użycie Fluttera wskazuje na wyższy stopień wyrafinowania.