FluHorse Mobile-Malware

Eine neue E-Mail-Phishing-Kampagne, die auf ostasiatische Regionen abzielt, zielt darauf ab, eine neue Art von Android-Malware namens FluHorse zu verbreiten. Diese spezielle mobile Malware nutzt das Flutter-Softwareentwicklungs-Framework, um Android-Geräte zu infizieren.

Die Malware verbreitete sich über mehrere unsichere Android-Anwendungen, die legitime Anwendungen nachahmen. Viele dieser schädlichen Elemente wurden bereits über 1.000.000 Mal installiert, was sie besonders bedrohlich macht. Wenn Benutzer diese Anwendungen herunterladen und installieren, gewähren sie der Malware unwissentlich Zugriff auf ihre Anmeldeinformationen und Zwei-Faktor-Authentifizierungscodes (2FA).

Die FluHorse-Anwendungen sind so konzipiert, dass sie beliebte Apps in den Zielregionen ähneln oder diese sogar imitieren, beispielsweise ETC und VPBank Neo, die in Taiwan und Vietnam weit verbreitet sind. Es gibt Hinweise darauf, dass diese Aktivität seit mindestens Mai 2022 aktiv ist. Details zur Android-Malware FluHorse und der damit verbundenen Aktivität wurden in einem Bericht von Check Point enthüllt.

FluHorse trickst Opfer mit Phishing-Taktiken aus

Das in der Infektionskette von FluHorse eingesetzte Phishing-Schema ist recht einfach: Angreifer locken Opfer, indem sie ihnen Betrugs-E-Mails mit Links zu einer speziellen Website senden, die unsichere APK-Dateien hostet. Diese Websites enthalten auch Überprüfungen, die Opfer überprüfen und die bedrohliche Anwendung nur dann bereitstellen, wenn die User-Agent-Zeichenfolge des Browsers des Besuchers mit der von Android übereinstimmt. Die Phishing-E-Mails wurden an eine Reihe namhafter Organisationen gesendet, darunter Mitarbeiter von Regierungsbehörden und großen Industrieunternehmen.

Sobald die Anwendung installiert ist, fordert die Malware SMS-Berechtigungen an und fordert die Benutzer auf, ihre Anmeldeinformationen und Kreditkarteninformationen einzugeben. Diese Informationen werden dann auf einen Remote-Server exfiltriert, während das Opfer mehrere Minuten warten muss.

Erschwerend kommt hinzu, dass die Bedrohungsakteure ihren Zugriff auf SMS-Nachrichten missbrauchen können, um alle eingehenden 2FA-Codes abzufangen und an den Command-and-Control-Server (C2, C&C) der Operation umzuleiten. Dies ermöglicht es den Angreifern, Sicherheitsmaßnahmen zu umgehen, die zum Schutz von Benutzerkonten auf 2FA basieren.

Neben dem Phishing-Angriff wurde auch eine Dating-App identifiziert. Es wurde beobachtet, dass chinesischsprachige Benutzer auf betrügerische Zielseiten umgeleitet wurden, die darauf abzielten, ihre Kreditkarteninformationen zu erfassen. Dies unterstreicht noch einmal die Gefahr, die von diesen Angriffen ausgeht, und wie wichtig es ist, wachsam zu bleiben und geeignete Vorkehrungen zu treffen, um sich vor Cyber-Bedrohungen zu schützen.

Die Android-Malware FluHorse ist schwer zu erkennen

Das Interessante an dieser speziellen Malware ist, dass sie mit Flutter implementiert wird, einem Open-Source-UI-Software-Entwicklungskit, das es Entwicklern ermöglicht, plattformübergreifende Anwendungen aus einer einzigen Codebasis zu erstellen. Dies ist eine bemerkenswerte Entwicklung, da Bedrohungsakteure häufig Taktiken wie Umgehungstechniken, Verschleierung und verzögerte Ausführung anwenden, um einer Erkennung durch virtuelle Umgebungen und Analysetools zu entgehen.

Allerdings stellt die Verwendung von Flutter zur Erstellung von Malware eine neue Ebene der Komplexität dar. Die Forscher kamen zu dem Schluss, dass die Malware-Entwickler nicht viel Zeit mit der Programmierung verbrachten, sondern sich stattdessen auf die inhärenten Eigenschaften der Flutter-Plattform verließen. Dies ermöglichte es ihnen, eine gefährliche und weitgehend unentdeckte Bedrohungsanwendung zu erstellen.