Malware móvil FluHorse

Una nueva campaña de phishing por correo electrónico dirigida a las regiones de Asia oriental tiene como objetivo distribuir una nueva variedad de malware para Android conocida como FluHorse. Este malware móvil en particular aprovecha el marco de desarrollo de software Flutter para infectar dispositivos Android.

El malware se propaga a través de varias aplicaciones de Android no seguras que imitan aplicaciones legítimas. Muchos de estos elementos dañinos ya han superado las instalaciones de 1,000,000, lo que los hace particularmente amenazantes. Cuando los usuarios descargan e instalan estas aplicaciones, sin saberlo, dan acceso al malware a sus credenciales y códigos de autenticación de dos factores (2FA).

Las aplicaciones de FluHorse están diseñadas para parecer similares o imitar completamente las aplicaciones populares en las regiones objetivo, como ETC y VPBank Neo, que se usan ampliamente en Taiwán y Vietnam. La evidencia muestra que esta actividad ha estado activa desde al menos mayo de 2022. Los detalles sobre el malware de Android FluHorse y su actividad asociada fueron revelados en un informe de Check Point.

FluHorse engaña a las víctimas con tácticas de phishing

El esquema de phishing utilizado en la cadena de infección de FluHorse es bastante sencillo: los atacantes atraen a las víctimas enviándoles correos electrónicos fraudulentos que contienen enlaces a un sitio web dedicado que aloja archivos APK no seguros. Estos sitios web también contienen controles que filtran a las víctimas, y solo entregan la aplicación amenazante si la cadena User-Agent del navegador del visitante coincide con la de Android. Los correos electrónicos de phishing se han enviado a una variedad de organizaciones de alto perfil, incluidos empleados de agencias gubernamentales y grandes empresas industriales.

Una vez que se instala la aplicación, el malware solicita permisos de SMS e insta a los usuarios a ingresar sus credenciales y la información de su tarjeta de crédito. Luego, esta información se extrae a un servidor remoto mientras la víctima se ve obligada a esperar varios minutos.

Para empeorar las cosas, los actores de amenazas pueden abusar de su acceso a los mensajes SMS para interceptar todos los códigos 2FA entrantes y redirigirlos al servidor de comando y control (C2, C&C) de la operación. Esto permite a los atacantes eludir las medidas de seguridad que se basan en 2FA para proteger las cuentas de los usuarios.

Además del ataque de phishing, también se identificó una aplicación de citas. Se observó que los usuarios de habla china redirigían a páginas de destino maliciosas diseñadas para capturar la información de su tarjeta de crédito. Esto destaca aún más el peligro que representan estos ataques y la importancia de permanecer alerta y tomar las precauciones adecuadas para protegerse de las ciberamenazas.

El malware de Android FluHorse es difícil de detectar

Lo interesante de este malware en particular es que se implementa con Flutter, un kit de desarrollo de software de interfaz de usuario de código abierto que hace posible que los desarrolladores creen aplicaciones multiplataforma a partir de una única base de código. Este es un desarrollo digno de mención, ya que los actores de amenazas a menudo usan tácticas como técnicas de evasión, ofuscación y ejecución retrasada para evitar la detección por parte de entornos virtuales y herramientas de análisis.

Sin embargo, usar Flutter para crear malware representa un nuevo nivel de sofisticación. Los investigadores concluyeron que los desarrolladores de malware no dedicaron mucho tiempo a la programación, sino que confiaron en las características innatas de la plataforma Flutter. Esto les permitió crear una aplicación amenazante peligrosa y en gran parte desapercibida.