Skip to main content

ΕΓΓΡΑΦΗ ΣΤΟ NEWSLETTER

17 May 2023 05:50

Νέο κακόβουλο λογισμικό Android ‘FluHorse’

Της Αφροδίτης Μπαλίδου

Διάφοροι τομείς στις αγορές της Ανατολικής Ασίας έχουν υποστεί μια νέα εκστρατεία ηλεκτρονικού «ψαρέματος» που διανέμει ένα μη τεκμηριωμένο στέλεχος κακόβουλου λογισμικού Android, με την ονομασία FluHorse, το οποίο κάνει κατάχρηση του πλαισίου ανάπτυξης λογισμικού Flutter.

«Το κακόβουλο λογισμικό διαθέτει αρκετές κακόβουλες εφαρμογές Android που μιμούνται νόμιμες εφαρμογές, οι περισσότερες από τις οποίες έχουν περισσότερες από 1.000.000 εγκαταστάσεις», αναφέρει η CheckPoint σε έκθεσή της. «Αυτές οι κακόβουλες εφαρμογές κλέβουν τα διαπιστευτήρια των θυμάτων και τους κωδικούς ελέγχου ταυτότητας δύο παραγόντων (2FA)».

Οι κακόβουλες εφαρμογές έχει διαπιστωθεί ότι μιμούνται δημοφιλείς εφαρμογές όπως οι ETC και VPBank Neo, οι οποίες χρησιμοποιούνται ευρέως στην Ταϊβάν και το Βιετνάμ. Τα στοιχεία που έχουν συγκεντρωθεί μέχρι στιγμής δείχνουν ότι η δραστηριότητα είναι ενεργή τουλάχιστον από τον Μάιο του 2022!

Το σύστημα phishing από μόνο του είναι αρκετά απλό: Τα θύματα παρασύρονται με μηνύματα ηλεκτρονικού ταχυδρομείου που περιέχουν συνδέσμους προς έναν ψεύτικο ιστότοπο που φιλοξενεί κακόβουλα αρχεία APK. Στον ιστότοπο προστίθενται επίσης έλεγχοι που αποσκοπούν στο να ελέγξουν τα θύματα και να παραδώσουν την εφαρμογή μόνο εάν η User-Agent του προγράμματος περιήγησης ταιριάζει με αυτή του Android. Μόλις εγκατασταθεί, το κακόβουλο λογισμικό ζητά δικαιώματα SMS και προτρέπει τον χρήστη να εισάγει τα διαπιστευτήριά του και τις πληροφορίες της πιστωτικής του κάρτας, τα οποία στη συνέχεια μεταφέρονται σε έναν απομακρυσμένο διακομιστή στο παρασκήνιο, ενώ το θύμα καλείται να περιμένει για αρκετά λεπτά. Οι φορείς απειλών κάνουν, επίσης, κατάχρηση της πρόσβασής τους στα μηνύματα SMS για να υποκλέψουν όλους τους εισερχόμενους κωδικούς 2FA και να τους ανακατευθύνουν στον διακομιστή εντολών και ελέγχου.

Αρκετοί οργανισμοί υψηλού προφίλ λέγεται ότι είναι μεταξύ των αποδεκτών αυτών των ηλεκτρονικών μηνυμάτων ηλεκτρονικού «ψαρέματος», συμπεριλαμβανομένων υπαλλήλων του κυβερνητικού τομέα και μεγάλων βιομηχανικών εταιρειών, ενώ κάθε μήνα εμφανίζονται νέες υποδομές και δόλιες εφαρμογές.

Είναι ενδιαφέρον ότι η κακόβουλη λειτουργικότητα υλοποιείται με το Flutter, ένα κιτ ανάπτυξης λογισμικού UI ανοιχτού κώδικα, καθώς είναι γνωστό πως οι φορείς απειλών χρησιμοποιούν διάφορα τεχνάσματα, όπως τεχνικές αποφυγής, συσκοτίσεις και μεγάλες καθυστερήσεις πριν από την εκτέλεση, για να αντισταθούν στην ανάλυση και να παρακάμψουν τα εικονικά περιβάλλοντα. Η χρήση του Flutter σηματοδοτεί, λοιπόν, ένα νέο επίπεδο πολυπλοκότητας. «Οι προγραμματιστές του κακόβουλου λογισμικού δεν κατέβαλαν μεγάλη προσπάθεια στον προγραμματισμό, αντ’ αυτού βασίστηκαν στο Flutter ως πλατφόρμα ανάπτυξης», κατέληξαν οι ερευνητές.

Τεύχος 286

ΑΛΛΑ ΑΡΘΡΑ ΣΕ ΑΥΤΗ ΤΗΝ ΚΑΤΗΓΟΡΙΑ