Pesquisadores de cibersegurança compartilharam os detalhes internos de uma família de malware para Android chamada Fluhorse.
O malware "representa uma mudança significativa, pois incorpora os componentes maliciosos diretamente no código Flutter", disse Axelle Apvrille, pesquisadora da Fortinet FortiGuard Labs, em um relatório publicado na semana passada.
O Fluhorse foi documentado pela primeira vez pela Check Point no início de maio de 2023, detalhando seus ataques a usuários localizados no leste da Ásia por meio de aplicativos falsos que se passam por ETC e VPBank Neo, que são populares em Taiwan e no Vietnã.
O vetor inicial de intrusão para o malware é o phishing.
O objetivo final do aplicativo é roubar credenciais, detalhes do cartão de crédito e códigos de autenticação de dois fatores (2FA) recebidos por SMS para um servidor remoto controlado pelos atores da ameaça.
As últimas descobertas da Fortinet, que reverteu uma amostra do Fluhorse enviada ao VirusTotal em 11 de junho de 2023, sugerem que o malware evoluiu, incorporando uma sofisticação adicional ao ocultar o payload criptografado em um empacotador.
"A descriptografia é realizada no nível nativo (para dificultar a engenharia reversa) usando a API criptográfica EVP do OpenSSL", explicou Apvrille.
O algoritmo de criptografia é AES-128-CBC e sua implementação usa a mesma string codificada para a chave e o vetor de inicialização (IV).
O payload descriptografado, um arquivo ZIP, contém um arquivo executável Dalvik (.dex) dentro dele, que é então instalado no dispositivo para ouvir as mensagens SMS recebidas e exfiltrá-las para o servidor remoto.
"Reverter aplicativos Flutter estaticamente é uma grande conquista para pesquisadores de antivírus, pois infelizmente espera-se que mais aplicativos maliciosos Flutter sejam lançados no futuro", disse Apvrille.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...