Um novo malware para Android chamado 'FluHorse' foi descoberto, visando usuários no leste asiático com aplicativos maliciosos que imitam versões legítimas.
O malware foi descoberto pela Check Point Research, que relata que ele tem como alvo vários setores do leste asiático desde maio de 2022.
O malware FluHorse é distribuído por e-mail, enquanto seu objetivo é roubar as credenciais de conta e dados do cartão de crédito de seu alvo e, se necessário, interceptar códigos de autenticação de dois fatores (2FA).
Os ataques do FluHorse começam com e-mails maliciosos enviados a alvos de alto perfil, instando-os a tomar medidas imediatas para resolver um problema de pagamento.
Normalmente, a vítima é levada a um site de phishing por meio de um link fornecido no e-mail, onde baixa o arquivo APK (Android package file) do aplicativo falso.
Os aplicativos imitados pelos aplicativos portadores do FluHorse são 'ETC', um aplicativo de cobrança de pedágio usado em Taiwan, e 'VPBank Neo', um aplicativo bancário no Vietnã.
Ambas as versões legítimas desses aplicativos têm mais de um milhão de downloads cada no Google Play.
A Check Point também observou que o malware se passa por um aplicativo de transporte usado por 100.000 pessoas, mas o nome não foi divulgado no relatório.
Os três aplicativos falsos solicitam acesso a SMS na instalação para interceptar códigos 2FA recebidos, caso seja necessário sequestrar as contas.
Os analistas comentam que os aplicativos falsos copiam a GUI dos originais, mas não apresentam muita funcionalidade além de duas a três janelas que carregam formulários que capturam as informações da vítima.
Depois de capturar as credenciais da conta e os detalhes do cartão de crédito das vítimas, os aplicativos exibem uma mensagem de "sistema ocupado" por 10 minutos, provavelmente para tornar o processo parecer realista enquanto os operadores agem nos bastidores para interceptar os códigos 2FA e aproveitar os dados roubados.
A CheckPoint diz que os aplicativos maliciosos foram construídos em Dart, usando a plataforma Flutter, e que a engenharia reversa e a descompilação do malware foram desafiadoras.
"A runtime do Flutter para ARM usa seu próprio registro de ponteiro de pilha (R15) em vez do ponteiro de pilha embutido (SP)", diz o relatório da Check Point.
"Qual registro é usado como ponteiro de pilha não faz diferença na execução do código ou no processo de engenharia reversa.
No entanto, faz uma grande diferença para o decompilador.
Por causa do uso de registro não padrão, um pseudocódigo errado e feio é gerado."
A análise foi tão desafiadora que a CheckPoint acabou contribuindo com melhorias para ferramentas de código aberto existentes, como 'flutter-re-demo' e 'reFlutter'.
Em última análise, esse trabalho revelou as funções responsáveis por exfiltrar as credenciais das vítimas, dados do cartão de crédito e a comunicação HTTP POST que enviou as mensagens SMS interceptadas para o servidor C2.
A CheckPoint alerta que a campanha FluHorse está em andamento, com novas infraestruturas e aplicativos maliciosos aparecendo a cada mês, portanto, essa é uma ameaça ativa para os usuários do Android.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...