Ανακαλύφθηκε ένα νέο κακόβουλο λογισμικό Android που ονομάζεται «FluHorse», που στοχεύει χρήστες με κακόβουλες εφαρμογές που μιμούνται νόμιμες εκδόσεις.

Το κακόβουλο λογισμικό ανακαλύφθηκε από την Check Point Research από τον Μάιο του 2022.

Το κακόβουλο λογισμικό FluHorse διανέμεται μέσω email, ενώ στόχος του είναι να κλέψει τα διαπιστευτήρια λογαριασμού και τα δεδομένα της πιστωτικής κάρτας του στόχου του και, αν χρειαστεί, να αρπάξει κωδικούς ελέγχου ταυτότητας δύο παραγόντων (2FA).

Στόχοι υψηλού προφίλ

Οι επιθέσεις FluHorse ξεκινούν με κακόβουλα email που αποστέλλονται σε στόχους υψηλού προφίλ, καλώντας τους να λάβουν άμεσα μέτρα για την επίλυση ενός ζητήματος πληρωμής.

Συνήθως, το θύμα οδηγείται σε έναν ιστότοπο ηλεκτρονικού ψαρέματος μέσω ενός συνδέσμου που παρέχεται στο email, από όπου κατεβάζει την ψεύτικη εφαρμογή APK (αρχείο πακέτου Android).

Οι εφαρμογές που μιμούνται οι εφαρμογές κινητής τηλεφωνίας FluHorse είναι «ETC», μια εφαρμογή είσπραξης διοδίων που χρησιμοποιείται στην Ταϊβάν και «VPBank Neo», μια τραπεζική εφαρμογή στο Βιετνάμ. Και οι δύο νόμιμες εκδόσεις αυτών των εφαρμογών έχουν πάνω από ένα εκατομμύριο λήψεις η καθεμία στο Google Play.

Το Check Point παρατήρησε επίσης το κακόβουλο λογισμικό που παριστάνεται ως εφαρμογή μεταφοράς που χρησιμοποιείται από 100.000 άτομα, αλλά το όνομά του δεν αποκαλύφθηκε στην αναφορά.

Και οι τρεις ψεύτικες εφαρμογές ζητούν πρόσβαση SMS κατά την εγκατάσταση για να υποκλαπούν εισερχόμενους κωδικούς 2FA σε περίπτωση που χρειαστεί να παραβιάσουν τους λογαριασμούς.

Οι αναλυτές σχολιάζουν ότι οι ψεύτικες εφαρμογές αντιγράφουν το GUI των πρωτοτύπων αλλά δεν διαθέτουν μεγάλη λειτουργικότητα εκτός από δύο-τρία παράθυρα που φορτώνουν τις φόρμες που καταγράφουν τις πληροφορίες του θύματος.

Αφού καταγράψουν τα διαπιστευτήρια του λογαριασμού των θυμάτων και τα στοιχεία της πιστωτικής κάρτας, οι εφαρμογές εμφανίζουν ένα μήνυμα “το σύστημα είναι απασχολημένο” για 10 λεπτά, πιθανόν να κάνει τη διαδικασία να φαίνεται ρεαλιστική ενώ οι χειριστές ενεργούν στο παρασκήνιο για να υποκλέψουν κωδικούς 2FA και να αξιοποιήσουν τα κλεμμένα δεδομένα.

Το CheckPoint λέει ότι οι κακόβουλες εφαρμογές δημιουργήθηκαν στο Dart, χρησιμοποιώντας την πλατφόρμα Flutter και η αντίστροφη μηχανική και η αποσυμπίληση του κακόβουλου λογισμικού ήταν προκλητική.