扒一扒针对东亚的新型恶意软件 FLUHORSE _FLUHORSE

文章插图
Check Point 的研究人员最近发现了一种名为 FluHorse 的新型恶意软件。该恶意软件具有几个模仿合法应用程序的恶意Android/ target=_blank class=infotextkey>安卓应用程序，其中大多数安装量超过 100 万次。这些恶意应用程序窃取受害者的凭据和双因素身份验证（2FA）代码。FluHorse 针对东亚市场的不同领域，并通过电子邮件进行传播。在某些情况下，第一阶段攻击中使用的电子邮件属于知名对象。恶意软件可以在数月内不被发现，这使其成为一种持久、危险且难以发现的威胁。

文章插图
其中一个恶意软件样本在 3 个月后仍未在 ViRustotal（VT）上检测到
攻击者使用规避技术、模糊处理和执行前的长时间延迟等技巧来躲过虚拟环境的检测。通常，这些技巧都有自定义实现，需要开发者付出大量的努力。
令人惊讶的是， FluHorse 内部没有使用自定义实现的技巧，因为恶意软件的开发者在开发过程中完全依赖开源框架。尽管一些应用程序部分是用 Kotlin 创建的，但恶意功能是用 Flutter 实现的。Flutter 是一个开源的用户界面软件开发工具包，由谷歌创建。它用于为各种平台开发跨平台应用程序，包括用于移动设备的 Android 和 IOS ，使用单个代码库。Flutter 之所以成为恶意软件开发人员的一个有吸引力的选择，是因为它使用自定义虚拟机（VM）来支持不同的平台，而且它易于创建 GUI 元素。此外，由于自定义的虚拟机，分析此类应用程序非常复杂，这使得该框架成为 Android 网络钓鱼攻击的完美解决方案。
模拟应用程序
攻击者会为每个国家的目标开发一个虚假应用程序：攻击者努力仔细模仿所有关键细节，以避免引起任何怀疑。
网络钓鱼
让我们看一下如何在应用程序的不同变体中实现网络钓鱼，有趣的是，恶意应用程序不包含任何东西，除了为受害者提供输入可能性的几个窗口副本。没有添加额外的函数或检查。这种刻意的简单性让我们得出结论，恶意软件的开发者并没有在他们创建的编程部分投入太多精力，又或者他们可能故意做出这个决定，以进一步减少被安全解决方案检测到的机会。
不管他们的意图是什么，这个计划都很有效。受害者输入敏感数据后，这些数据会被泄露到 C&C 服务器。与此同时，恶意软件要求受害者在 " 处理数据 " 时等待几分钟。在这一步中，短信拦截功能发挥作用，将所有传入的短信流量重定向到恶意服务器。如果攻击者输入被盗凭证或信用卡数据，然后被要求输入双因素身份验证（2FA）代码，这也会被拦截。网络钓鱼方案如下：

文章插图
恶意软件如何进行网络钓鱼攻击
请注意，根据恶意应用程序的类型（针对电子收费、银行或约会用户），可能不需要凭据或信用卡号。
感染链和目标
在受害者的设备上安装恶意应用程序之前，必须先发送恶意应用程序。这就是电子邮件诱饵派上用场的地方。我们追踪了不同类型恶意应用程序的感染链，并在这些电子邮件的收件人中发现了多个知名对象，包括政府部门和大型工业公司的员工。
电子邮件诱饵很好地利用了社会工程，并与随后安装的恶意 APK 的所谓目的一致：支付通行费。
这是一个带有 fetc.NET.tw-notice@twfetc.com 发件人地址：

文章插图
攻击者发送给政府接收者的电子邮件示例
攻击者使用的恶意 fetc-net [ . ] com 域与 fetc 公司的官方网站 fetc.net.tw 非常相似。
在这个恶意网站上，攻击者添加了一个额外的保护层，以确保只有受害者才能下载 APK：如果目标的用户代理与预期的用户代理匹配，就会下载 APK 。此检查是通过客户端 JAVAScript 执行的：