Novo malware FluHorse para Android rouba suas senhas e códigos de autenticação de dois fatores (2FA)
8 de Maio de 2023

Um novo malware para Android chamado 'FluHorse' foi descoberto, visando usuários no leste asiático com aplicativos maliciosos que imitam versões legítimas.

O malware foi descoberto pela Check Point Research, que relata que ele tem como alvo vários setores do leste asiático desde maio de 2022.

O malware FluHorse é distribuído por e-mail, enquanto seu objetivo é roubar as credenciais de conta e dados do cartão de crédito de seu alvo e, se necessário, interceptar códigos de autenticação de dois fatores (2FA).

Os ataques do FluHorse começam com e-mails maliciosos enviados a alvos de alto perfil, instando-os a tomar medidas imediatas para resolver um problema de pagamento.

Normalmente, a vítima é levada a um site de phishing por meio de um link fornecido no e-mail, onde baixa o arquivo APK (Android package file) do aplicativo falso.

Os aplicativos imitados pelos aplicativos portadores do FluHorse são 'ETC', um aplicativo de cobrança de pedágio usado em Taiwan, e 'VPBank Neo', um aplicativo bancário no Vietnã.

Ambas as versões legítimas desses aplicativos têm mais de um milhão de downloads cada no Google Play.

A Check Point também observou que o malware se passa por um aplicativo de transporte usado por 100.000 pessoas, mas o nome não foi divulgado no relatório.

Os três aplicativos falsos solicitam acesso a SMS na instalação para interceptar códigos 2FA recebidos, caso seja necessário sequestrar as contas.

Os analistas comentam que os aplicativos falsos copiam a GUI dos originais, mas não apresentam muita funcionalidade além de duas a três janelas que carregam formulários que capturam as informações da vítima.

Depois de capturar as credenciais da conta e os detalhes do cartão de crédito das vítimas, os aplicativos exibem uma mensagem de "sistema ocupado" por 10 minutos, provavelmente para tornar o processo parecer realista enquanto os operadores agem nos bastidores para interceptar os códigos 2FA e aproveitar os dados roubados.

A CheckPoint diz que os aplicativos maliciosos foram construídos em Dart, usando a plataforma Flutter, e que a engenharia reversa e a descompilação do malware foram desafiadoras.

"A runtime do Flutter para ARM usa seu próprio registro de ponteiro de pilha (R15) em vez do ponteiro de pilha embutido (SP)", diz o relatório da Check Point.

"Qual registro é usado como ponteiro de pilha não faz diferença na execução do código ou no processo de engenharia reversa.

No entanto, faz uma grande diferença para o decompilador.

Por causa do uso de registro não padrão, um pseudocódigo errado e feio é gerado."

A análise foi tão desafiadora que a CheckPoint acabou contribuindo com melhorias para ferramentas de código aberto existentes, como 'flutter-re-demo' e 'reFlutter'.

Em última análise, esse trabalho revelou as funções responsáveis ​​por exfiltrar as credenciais das vítimas, dados do cartão de crédito e a comunicação HTTP POST que enviou as mensagens SMS interceptadas para o servidor C2.

A CheckPoint alerta que a campanha FluHorse está em andamento, com novas infraestruturas e aplicativos maliciosos aparecendo a cada mês, portanto, essa é uma ameaça ativa para os usuários do Android.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...