Вредоносное ПО FluHorse для мобильных устройств поражает азиатских жертв

Новая фишинговая кампания по электронной почте нацелена на различные отрасли на рынках Восточной Азии путем распространения ранее неизвестного типа вредоносного ПО для Android под названием FluHorse, которое использует среду разработки программного обеспечения Flutter. Вредоносное ПО состоит из множества приложений для Android, которые напоминают подлинные приложения, большинство из которых загружено более миллиона раз.

Эти вредоносные приложения крадут учетные данные жертв и коды двухфакторной аутентификации. Вредоносные приложения имитируют известные приложения, такие как ETC и VPBank Neo, которые широко распространены во Вьетнаме и Тайване, и эта схема действует как минимум с мая 2022 года.

Режим работы FluHorse

Афера проста: жертв обманом заставляют щелкать ссылки в электронных письмах, которые направляют их на поддельные веб-сайты, на которых размещены вредоносные файлы APK. Сайты содержат проверки, которые отсеивают потенциальных жертв и предоставляют приложение только в том случае, если строка User-Agent их браузера соответствует строке Android. После установки вредоносное ПО запрашивает разрешения для SMS и принуждает пользователей вводить данные для входа в систему и информацию о кредитной карте, которые затем похищаются и отправляются на удаленный сервер.

Тем временем вредонос перехватывает все входящие коды 2FA и перенаправляет их на командно-контрольный сервер. Кроме того, было обнаружено приложение для знакомств, которое отправляет китайскоязычных пользователей на поддельные целевые страницы, созданные для сбора информации о кредитных картах. Фишинговые электронные письма нацелены на многие известные учреждения, в том числе на государственных служащих и крупные промышленные предприятия, и каждый месяц появляются новые мошеннические приложения и инфраструктура.

FluHorse, созданный с использованием Flutter SDK

Удивительно, но вредоносное ПО разработано с использованием Flutter, набора для разработки программного обеспечения пользовательского интерфейса с открытым исходным кодом, который позволяет разработчикам создавать кроссплатформенные приложения с единой кодовой базой. Несмотря на то, что злоумышленники часто используют тактику уклонения, запутывание и длительные задержки перед выполнением, чтобы избежать анализа и обойти виртуальные среды, использование Flutter указывает на более высокую степень сложности.