FluHorse モバイル マルウェア

東アジア地域をターゲットとした新たな電子メール フィッシング キャンペーンは、FluHorse として知られる新種の Android マルウェアを配布することを目的としています。この特定のモバイル マルウェアは、Flutter ソフトウェア開発フレームワークを利用して Android デバイスに感染します。

このマルウェアは、正規のアプリケーションを模倣したいくつかの安全でない Android アプリケーションを通じて拡散しました。これらの有害なアイテムの多くはすでにインストール数が 100 万件を超えており、特に脅威となっています。ユーザーがこれらのアプリケーションをダウンロードしてインストールすると、知らないうちにマルウェアに自分の資格情報と 2 要素認証 (2FA) コードへのアクセスを許可してしまいます。

FluHorse アプリケーションは、台湾やベトナムで広く使用されている ETC や VPBank Neo など、対象地域で人気のあるアプリと同様に見えるか、完全に模倣するように設計されています。証拠によれば、この活動は少なくとも 2022 年 5 月から活動していました。FluHorse Android マルウェアとそれに関連する活動の詳細は、Check Point のレポートで明らかになりました。

FluHorse がフィッシング戦術で被害者をだます

FluHorse の感染チェーンで利用されるフィッシング スキームは非常に単純です。攻撃者は、安全でない APK ファイルをホストする専用 Web サイトへのリンクを含む詐欺メールを送信して被害者をおびき寄せます。これらの Web サイトには、被害者を選別するチェックも含まれており、訪問者のブラウザのユーザー エージェント文字列が Android のものと一致する場合にのみ脅威となるアプリケーションを配信します。フィッシングメールは、政府機関や大企業の従業員など、さまざまな有名組織に送信されています。

アプリケーションがインストールされると、マルウェアは SMS アクセス許可を要求し、ユーザーに資格情報とクレジット カード情報の入力を促します。この情報はリモート サーバーに流出し、被害者は数分間待たされることになります。

さらに悪いことに、攻撃者は SMS メッセージへのアクセスを悪用して、受信するすべての 2FA コードを傍受し、操作のコマンド アンド コントロール (C2、C&C) サーバーにリダイレクトする可能性があります。これにより、攻撃者は 2FA に依存してユーザー アカウントを保護するセキュリティ対策を回避できます。

フィッシング攻撃に加えて、出会い系アプリも特定されました。中国語を話すユーザーを、クレジット カード情報を取得するように設計された不正なランディング ページにリダイレクトすることが観察されました。これは、これらの攻撃によってもたらされる危険性と、サイバー脅威から身を守るために常に警戒し、適切な予防措置を講じることの重要性をさらに強調しています。

FluHorse Android マルウェアは検出が困難

この特定のマルウェアの興味深い点は、開発者が単一のコードベースからクロスプラットフォーム アプリケーションを作成できるようにするオープンソース UI ソフトウェア開発キットである Flutter を使用して実装されていることです。脅威アクターは、仮想環境や分析ツールによる検出を回避するために、回避技術、難読化、遅延実行などの戦術をよく使用するため、これは注目に値する進展です。

ただし、Flutter を使用してマルウェアを作成すると、新たなレベルの洗練度が高まります。研究者らは、マルウェア開発者はプログラミングに多くの時間を費やさず、代わりに Flutter プラットフォーム本来の特性に依存していたと結論付けました。これにより、ほとんど検出されない危険な脅威アプリケーションを作成することが可能になりました。