New Android Malware ‘FluHorse’ Targeting East Asian Markets with Deceptive Tactics
2023/05/05 TheHackerNews — Flutter ソフトウェア開発フレームワークを悪用した、FluHorse という名の新たな Android マルウェア系統を配布する、電子メール・フィッシング・キャンペーンが、東アジア・マーケットの様々な分野で展開されていることが判明した。Check Point のテクニカル・レポートには、「このマルウェアは、正規のアプリケーションを模倣した、複数の悪意の Android アプリケーションに仕込まれ、その大半が 100万回以上もインストールされている。これらの悪意のあるアプリは、被害者の認証情報と二要素認証 (2FA) コードを盗み出す」と記されている。
それらの悪意のあるアプリは、台湾やベトナムで使用されている ETC/VPBank Neo といったアプリを模倣していることが判明している。これまでに集められた証拠によると、2022年5月ころから、一連の悪意のアクティビティは活性化していたようだ。
フィッシングの仕組み自体は単純なものであり、悪意の APK ファイルをホストする、偽の Web サイトへのリンクを含む電子メールで、被害者たちは誘い出された。また、この Web サイトには、ブラウザの User-Agent 文字列が Android のものと一致する場合にのみ、アプリを配信するためのチェックが追加されており、被害者の選別が行われていた。
このマルウェアのインストールが完了すると、SMS の許可を要求される。さらに、ユーザーに対して、認証情報やクレジットカード情報の入力を促し、その後に、被害者に数分間待つように指示しながら、すべての情報をリモートサーバに流出させる、バックグラウンド・プロセスが動き出す。
また、脅威アクターは、SMS メッセージへのアクセスを悪用して、受信するすべての 2FA コードを傍受し、Command and Control (C2) サーバーにリダイレクトする。
Check Point は、クレジットカード情報を取得するための、不正なランディング・ページへと、中国語を話すユーザーをリダイレクトさせる、出会い系アプリも確認したと述べている。
興味深いことに、この悪意の機能の実装で用いられている Flutter は、単一のコードベースからクロスプラットフォームのアプリを開発するために使用される、オープンソースの UI ソフトウェア開発キットである。
脅威アクターたちは、仮想環境における解析を回避するために、さまざまな手口を用いることが知られているが、この Flutter の使用は、新たなレベルの洗練を意味している。
研究者たちは、「このマルウェア開発者は、プログラミングに注力する代わりに、開発プラットフォーム Flutter を悪用している。このアプローチにより、検出を回避する悪意のアプリケーションが開発されている。Flutter を悪用する利点の1つとして挙げられるのは、その分析しにくい性質により、現時点の数多くのセキュリティ・ソリューションが無価値になることだ」と述べている。
さまざまな Android マルウェアがありますが、それぞれが進化しています。2023/04/11 の「Android アプリ侵害:$20K で機能満載のハッキング・ツールが購入できる時代」では、スキルの低い脅威アクターであっても、容易にサイバー攻撃を仕掛けられるようになったと指摘されています。そのほかにも、以下の関連記事がありますので、よろしければ、ご参照ください。
2023/04/15:Goldoson という新しい Android マルウェア
2023/04/06:Android アプリに新たなデータ削除規定
2023/02/22:ChatGPT の偽アプリ:Android マルウェアを配信
2023/01/05:SpyNote のオープン化:金融機関が標的
IoT OT Security News 
You must be logged in to post a comment.