Một phần mềm độc hại Android mới có tên 'FluHorse' đã được phát hiện, nhắm mục tiêu người dùng ở Đông Á bằng các ứng dụng độc hại bắt chước các phiên bản hợp pháp.
Phần mềm độc hại được phát hiện bởi Check Point Research, báo cáo rằng nó đã nhắm mục tiêu vào nhiều khu vực khác nhau ở Đông Á kể từ tháng 5 năm 2022.
Phần mềm độc hại FluHorse được phân phối qua email, trong khi mục tiêu của nó là đánh cắp thông tin đăng nhập tài khoản và dữ liệu thẻ tín dụng của mục tiêu và nếu cần, lấy mã xác thực hai yếu tố (2FA).
Các cuộc tấn công FluHorse bắt đầu bằng các email độc hại được gửi đến các mục tiêu nổi tiếng, thúc giục họ thực hiện hành động ngay lập tức để giải quyết vấn đề thanh toán.
Mẫu email lừa đảo được sử dụng trong chiến dịch
Thông thường, nạn nhân được dẫn đến một trang web lừa đảo thông qua một liên kết được cung cấp trong email, nơi họ tải xuống APK ứng dụng giả mạo (tệp gói Android) từ đó.
Các ứng dụng được ứng dụng của nhà cung cấp dịch vụ FluHorse bắt chước là 'ETC', một ứng dụng thu phí được sử dụng ở Đài Loan và 'VPBank Neo', một ứng dụng ngân hàng ở Việt Nam. Cả hai phiên bản hợp pháp của những ứng dụng này đều có hơn một triệu lượt tải xuống trên Google Play.
Ứng dụng bắt chước bởi FluHorse
Check Point cũng đã quan sát thấy phần mềm độc hại giả dạng một ứng dụng giao thông được sử dụng bởi 100.000 người, nhưng tên của nó không được tiết lộ trong báo cáo.
Cả ba ứng dụng giả mạo đều yêu cầu quyền truy cập SMS khi cài đặt để chặn mã 2FA đến trong trường hợp cần thiết để chiếm đoạt tài khoản.
Ứng dụng yêu cầu quyền truy cập SMS
Các nhà phân tích nhận xét rằng các ứng dụng giả mạo sao chép GUI của bản gốc nhưng không có nhiều chức năng ngoài hai hoặc ba cửa sổ tải các biểu mẫu thu thập thông tin của nạn nhân.
Giao diện ứng dụng độc hại
Sau khi nắm bắt thông tin đăng nhập tài khoản và chi tiết thẻ tín dụng của nạn nhân, các ứng dụng sẽ hiển thị thông báo "hệ thống đang bận" trong 10 phút, có khả năng làm cho quá trình này có vẻ thực tế trong khi các nhà khai thác hành động ngầm để chặn mã 2FA và tận dụng dữ liệu bị đánh cắp.
Chuỗi tấn công của FluHorse
CheckPoint nói rằng các ứng dụng độc hại được xây dựng trong Dart, sử dụng nền tảng Flutter, và kỹ thuật đảo ngược và dịch ngược phần mềm độc hại là một thách thức.
"Thời gian chạy rung cho ARM sử dụng thanh ghi con trỏ ngăn xếp (R15) của chính nó thay vì con trỏ ngăn xếp tích hợp (SP)", báo cáo của Check Point viết .
"Thanh ghi nào được sử dụng làm con trỏ ngăn xếp không tạo ra sự khác biệt trong quá trình thực thi mã hoặc trong quy trình kỹ thuật đảo ngược. Tuy nhiên, nó tạo ra sự khác biệt lớn đối với trình dịch ngược. Do cách sử dụng thanh ghi không chuẩn, mã giả xấu và sai được tạo ra ."
Quá trình phân tích đầy thách thức đến nỗi CheckPoint cuối cùng đã đóng góp các cải tiến cho các công cụ nguồn mở hiện có như 'flutter-re-demo' và 'reFlutter'.
Cuối cùng, công việc này đã tiết lộ các chức năng chịu trách nhiệm đánh cắp thông tin xác thực, dữ liệu thẻ tín dụng của nạn nhân và giao tiếp HTTP POST đã gửi các tin nhắn SMS bị chặn đến máy chủ C2.
CheckPoint cảnh báo rằng chiến dịch FluHorse đang diễn ra, với cơ sở hạ tầng mới và các ứng dụng độc hại xuất hiện mỗi tháng, vì vậy đây là một mối đe dọa đang hoạt động đối với người dùng Android.
Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.