Site icon Kiber.ba

Fluhorse: Maliciozni Android softver zasnovan na Flutter-u cilja na kreditne kartice i 2FA kodove

Istraživači kibernetičke bezbjednosti su podijelili unutrašnje djelovanje porodice Android malware-a pod nazivom Fluhorse.

Maliciozni softver “predstavlja značajan pomak jer inkorporiše maliciozne komponente direktno u Flutter kod” rekla je istraživačica Fortinet FortiGuard Labs-a Axelle Apvrille u izvještaju objavljenom prošle sedmice.

Fluhorse je prvi put dokumentovao Check Point početkom maja 2023. godine, s detaljima o napadima na korisnike koji se nalaze u istočnoj Aziji putem lažnih aplikacija koje se maskiraju kao ETC i VPBank Neo, koje su popularne na Tajvanu i Vijetnamu. Početni vektor upada za malware je phishing.

Krajnji cilj aplikacije je krađa kredencijala, podataka o kreditnoj kartici i kodova za dvofaktornu autentifikaciju (2FA) primljenih kao SMS na udaljeni server pod kontrolom hakera.

Najnovija otkrića kompanije Fortinet, koja je izvršila reverzni inženjering uzorka Fluhorse-a postavljenog na VirusTotal 11. juna 2023. godine, sugerišu da je maliciozni softver evoluirao, uključujući dodatnu sofistikovanost skrivanjem šifrovanog payload-a u packer-u.

“Dešifrovanje se izvodi na izvornom nivou, da bi se ojačao obrnuti inženjering, pomoću OpenSSL-ovog EVP kriptografskog API-a” objasnio je Apvrille. Algoritam šifrovanja je AES-128-CBC, a njegova implementacija koristi isti hard kodirani niz za ključ i vektor inicijalizacije (IV).”

Dešifrovani payload, ZIP fajl, u sebi sadrži Dalvik izvršnu datoteku (.dex), koja se zatim instalira na uređaj kako bi preslušala dolazne SMS poruke i eksfiltrovala ih na udaljeni server.

“Statično preokretanje Flutter aplikacija predstavlja napredak za istraživače antivirusa, jer se, nažalost, očekuje da će u budućnosti biti objavljeno više malicioznih Flutter aplikacija” rekao je Apvrille.

Izvor: The Hacker News

Exit mobile version