Logiciels malveillants mobiles FluHorse

Une nouvelle campagne de phishing par e-mail ciblant les régions d'Asie de l'Est vise à diffuser une nouvelle souche de malware Android connue sous le nom de FluHorse. Ce malware mobile particulier tire parti du cadre de développement logiciel Flutter pour infecter les appareils Android.

Le logiciel malveillant s'est propagé via plusieurs applications Android non sécurisées qui imitent des applications légitimes. Beaucoup de ces éléments nuisibles ont déjà atteint plus de 1 000 000 d'installations, ce qui les rend particulièrement menaçants. Lorsque les utilisateurs téléchargent et installent ces applications, ils donnent sans le savoir au logiciel malveillant l'accès à leurs informations d'identification et aux codes d'authentification à deux facteurs (2FA).

Les applications FluHorse sont conçues pour ressembler ou imiter carrément les applications populaires dans les régions ciblées, telles que ETC et VPBank Neo, qui sont largement utilisées à Taïwan et au Vietnam. Les preuves montrent que cette activité est active depuis au moins mai 2022. Des détails sur le malware Android FluHorse et son activité associée ont été révélés dans un rapport de Check Point.

FluHorse trompe les victimes avec des tactiques de phishing

Le schéma de phishing utilisé dans la chaîne d'infection de FluHorse est assez simple : les attaquants attirent les victimes en leur envoyant des e-mails frauduleux contenant des liens vers un site Web dédié qui héberge des fichiers APK non sécurisés. Ces sites Web contiennent également des contrôles qui filtrent les victimes, ne délivrant l'application menaçante que si la chaîne User-Agent du navigateur du visiteur correspond à celle d'Android. Les e-mails de phishing ont été envoyés à une série d'organisations de premier plan, y compris des employés d'agences gouvernementales et de grandes entreprises industrielles.

Une fois l'application installée, le logiciel malveillant demande des autorisations SMS et invite les utilisateurs à saisir leurs informations d'identification et leurs informations de carte de crédit. Ces informations sont ensuite exfiltrées vers un serveur distant tandis que la victime est obligée d'attendre plusieurs minutes.

Pour aggraver les choses, les acteurs de la menace peuvent abuser de leur accès aux messages SMS pour intercepter tous les codes 2FA entrants et les rediriger vers le serveur de commande et de contrôle (C2, C&C) de l'opération. Cela permet aux attaquants de contourner les mesures de sécurité qui s'appuient sur 2FA pour protéger les comptes d'utilisateurs.

En plus de l'attaque de phishing, une application de rencontres a également été identifiée. Il a été observé que les utilisateurs de langue chinoise étaient redirigés vers des pages de destination frauduleuses conçues pour capturer les informations de leur carte de crédit. Cela met davantage en évidence le danger que représentent ces attaques et l'importance de rester vigilant et de prendre les précautions appropriées pour se protéger des cybermenaces.

Le malware Android FluHorse est difficile à détecter

Ce qui est intéressant à propos de ce malware particulier, c'est qu'il est implémenté à l'aide de Flutter, un kit de développement de logiciel d'interface utilisateur open source qui permet aux développeurs de créer des applications multiplateformes à partir d'une seule base de code. Il s'agit d'un développement remarquable car les acteurs de la menace utilisent souvent des tactiques telles que des techniques d'évasion, l'obscurcissement et une exécution retardée pour éviter la détection par les environnements virtuels et les outils d'analyse.

Cependant, l'utilisation de Flutter pour créer des logiciels malveillants représente un nouveau niveau de sophistication. Les chercheurs ont conclu que les développeurs de logiciels malveillants n'ont pas consacré beaucoup de temps à la programmation, mais se sont plutôt appuyés sur les caractéristiques innées de la plate-forme Flutter. Cela leur a permis de créer une application menaçante dangereuse et largement non détectée.