Ανακαλύφθηκε ένα νέο κακόβουλο λογισμικό Android με την ονομασία “FluHorse”, το οποίο στοχεύει χρήστες στην Ανατολική Ασία με κακόβουλες εφαρμογές που μιμούνται νόμιμες εκδόσεις.
Η Check Point Research ανακάλυψε το κακόβουλο λογισμικό, το οποίο στοχεύει διάφορους τομείς της Ανατολικής Ασίας από τον Μάιο του 2021.
Το κακόβουλο λογισμικό FluHorse διανέμεται μέσω ηλεκτρονικού ταχυδρομείου και ο στόχος του είναι να κλέψει τα account credentials και τα δεδομένα πιστωτικών καρτών του στόχου του και, αν χρειαστεί, να αποσπάσει κωδικούς ελέγχου ταυτότητας δύο παραγόντων (2FA).
Δείτε επίσης: Rochester: Τα σχολεία επιβεβαιώνουν ότι δέχτηκαν επίθεση ransomware
Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα
Αποκαλύφθηκαν τα Cybercab robotaxi και Tesla Robovan
Πώς τα εργαλεία της OpenAI επηρεάζουν τις εκλογές;
Στόχοι υψηλού προφίλ
Οι επιθέσεις FluHorse ξεκινούν με κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου που αποστέλλονται σε στόχους υψηλού προφίλ, προτρέποντάς τους να αναλάβουν άμεση δράση προκειμένου να επιλύσουν ένα ζήτημα πληρωμής.
Συνήθως, το θύμα οδηγείται σε έναν ιστότοπο ηλεκτρονικού “ψαρέματος” μέσω ενός link που παρέχεται στο μήνυμα ηλεκτρονικού ταχυδρομείου, από τον οποίο κατεβάζει το APK (αρχείο πακέτου Android) της ψεύτικης εφαρμογής.
Οι εφαρμογές που μιμούνται από τις εφαρμογές φορέα FluHorse είναι η “ETC”, μια εφαρμογή συλλογής διοδίων που χρησιμοποιείται στην Ταϊβάν, και η “VPBank Neo”, μια τραπεζική εφαρμογή στο Βιετνάμ. Και οι δύο νόμιμες εκδόσεις αυτών των εφαρμογών είχαν πάνω από ένα εκατομμύριο λήψεις η καθεμία στο Google Play.
Η Check Point παρατήρησε επίσης ότι το κακόβουλο λογισμικό εμφανιζόταν ως εφαρμογή μεταφορών που χρησιμοποιούνταν από 100.000 άτομα, ωστόσο το όνομά της δεν αποκαλύφθηκε στην έκθεση.
Και οι τρεις ψεύτικες εφαρμογές ζητούν πρόσβαση σε SMS κατά την εγκατάσταση, προκειμένου να υποκλέψουν τους εισερχόμενους κωδικούς 2FA, εάν χρειαστεί να υποκλέψουν τους λογαριασμούς.
Δείτε επίσης: Τα press groups Blick και Tamedia έχουν πληγεί από την πρόσφατη κυβερνοεπίθεση στην Ελβετία
Οι αναλυτές σχολίασαν ότι οι ψεύτικες εφαρμογές αντιγράφουν το γραφικό περιβάλλον των πρωτότυπων, αλλά δεν διαθέτουν πολλές λειτουργίες εκτός από δύο ή τρία παράθυρα που φορτώνουν φόρμες οι οποίες καταγράφουν τις πληροφορίες του θύματος.
Αφού καταγράψει τα διαπιστευτήρια λογαριασμού και τα στοιχεία της πιστωτικής κάρτας των θυμάτων, η εφαρμογή εμφανίζει ένα μήνυμα “το σύστημα είναι απασχολημένο” για 10 λεπτά, πιθανότατα για να κάνει τη διαδικασία να φαίνεται ρεαλιστική, ενώ οι χειριστές ενεργούν στο παρασκήνιο για να υποκλέψουν τους κωδικούς 2FA και να αξιοποιήσουν τα κλεμμένα δεδομένα.
Η CheckPoint αναφέρει ότι οι κακόβουλες εφαρμογές κατασκευάστηκαν σε Dart, χρησιμοποιώντας την πλατφόρμα Flutter, και ότι το reverse engineering και το decompiling του κακόβουλου λογισμικού ήταν δύσκολο.
Η ανάλυση ήταν τόσο δύσκολη που η CheckPoint κατέληξε να συνεισφέρει βελτιώσεις σε υπάρχοντα εργαλεία ανοικτού κώδικα, όπως τα “flutter-re-demo” και “reFlutter”.
Δείτε επίσης: Akira: Μια νέα λειτουργία ransomware που παραβιάζει εταιρικά δίκτυα
Τελικά, η εργασία αυτή αποκάλυψε τις λειτουργίες που ήταν υπεύθυνες για τη διαρροή των credentials των θυμάτων, τα δεδομένα πιστωτικών καρτών και την επικοινωνία HTTP POST που έστειλε τα υποκλαπέντα μηνύματα SMS στον διακομιστή C2.
Η Check Point προειδοποιεί ότι η εκστρατεία FluHorse βρίσκεται σε εξέλιξη, με νέες υποδομές και κακόβουλες εφαρμογές να εμφανίζονται κάθε μήνα, οπότε πρόκειται για μια ενεργή απειλή για τους χρήστες Android.
Πηγή πληροφοριών: bleepingcomputer.com