Istraživači kibernetičke bezbjednosti su podijelili unutrašnje djelovanje porodice Android malware-a pod nazivom Fluhorse.
Maliciozni softver “predstavlja značajan pomak jer inkorporiše maliciozne komponente direktno u Flutter kod” rekla je istraživačica Fortinet FortiGuard Labs-a Axelle Apvrille u izvještaju objavljenom prošle sedmice.
Fluhorse je prvi put dokumentovao Check Point početkom maja 2023. godine, s detaljima o napadima na korisnike koji se nalaze u istočnoj Aziji putem lažnih aplikacija koje se maskiraju kao ETC i VPBank Neo, koje su popularne na Tajvanu i Vijetnamu. Početni vektor upada za malware je phishing.
Krajnji cilj aplikacije je krađa kredencijala, podataka o kreditnoj kartici i kodova za dvofaktornu autentifikaciju (2FA) primljenih kao SMS na udaljeni server pod kontrolom hakera.
Najnovija otkrića kompanije Fortinet, koja je izvršila reverzni inženjering uzorka Fluhorse-a postavljenog na VirusTotal 11. juna 2023. godine, sugerišu da je maliciozni softver evoluirao, uključujući dodatnu sofistikovanost skrivanjem šifrovanog payload-a u packer-u.
“Dešifrovanje se izvodi na izvornom nivou, da bi se ojačao obrnuti inženjering, pomoću OpenSSL-ovog EVP kriptografskog API-a” objasnio je Apvrille. Algoritam šifrovanja je AES-128-CBC, a njegova implementacija koristi isti hard kodirani niz za ključ i vektor inicijalizacije (IV).”
Dešifrovani payload, ZIP fajl, u sebi sadrži Dalvik izvršnu datoteku (.dex), koja se zatim instalira na uređaj kako bi preslušala dolazne SMS poruke i eksfiltrovala ih na udaljeni server.
“Statično preokretanje Flutter aplikacija predstavlja napredak za istraživače antivirusa, jer se, nažalost, očekuje da će u budućnosti biti objavljeno više malicioznih Flutter aplikacija” rekao je Apvrille.
Izvor: The Hacker News