Diversi settori nei mercati dell’Asia orientale sono stati colpiti da una nuova campagna di phishing via email che distribuisce un ceppo di malware Android precedentemente non documentato chiamato FluHorse, che abusa del framework di sviluppo software Flutter.
FluHorse: cosa fa questo malware per Android e come porta al phishing
“Il malware presenta diverse applicazioni Android maligne che imitano applicazioni legittime, la maggior parte delle quali ha più di 1.000.000 di installazioni“, ha dichiarato Check Point in un rapporto tecnico. “Queste applicazioni dannose rubano le credenziali delle vittime e i codici di autenticazione a due fattori (2FA)“.
Si è scoperto che questo malware, FluHorse, si cela tra le applicazioni maligne imitano programmi popolari come ETC e VPBank Neo, ampiamente utilizzate a Taiwan e in Vietnam. Le prove raccolte finora mostrano che l’attività è attiva almeno dal maggio 2022.
Lo schema di phishing in sé è abbastanza semplice: le vittime vengono attirate da email che contengono link a un sito web falso che ospita file APK maligni (insomma, un classico senza tempo). Sul sito web vengono anche aggiunti controlli che mirano a scremare le vittime e fornire l’app solo se la stringa User-Agent del loro browser corrisponde a quella di Android.
Una volta installato, il malware richiede i permessi SMS e invita l’utente a inserire le proprie credenziali e le informazioni sulla carta di credito, tutte successivamente reindirizzate su un server remoto in background mentre la vittima viene invitata ad aspettare diversi minuti.
Come opera FluHorse
I malintenzionati, gli autori di FluHorse insomma, sfruttano anche il loro accesso ai messaggi SMS per intercettare tutti i codici di autenticazione a due fattori (2FA) in arrivo e ridirigerli al server di comando e controllo.
La società israeliana di sicurezza informatica ha anche identificato un’applicazione di incontri che ha reindirizzato gli utenti di lingua cinese a pagine di destinazione fraudolente progettate per acquisire informazioni sulla carta di credito.
Sembra che diverse organizzazioni di alto profilo siano tra i destinatari di queste email di phishing, tra cui dipendenti del settore governativo e grandi aziende industriali, con nuove infrastrutture e applicazioni fraudolente che compaiono ogni mese.
È interessante notare che la funzionalità dannosa è implementata con Flutter, un kit di sviluppo software UI open source che può essere utilizzato per sviluppare app cross-platform da un’unica base di codice.
Mentre questi malintenzionati noti per utilizzare una varietà di trucchi come tecniche di evasione, offuscamento e lunghe attese prima dell’esecuzione per resistere all’analisi e aggirare gli ambienti virtuali, l’uso di Flutter segna un nuovo livello di sofisticazione.
“Il team di sviluppo del malware non ha dedicato molto sforzo alla programmazione, ma si è affidato a Flutter come piattaforma di sviluppo“, hanno concluso i ricercatori.
“Questo approccio gli ha permesso di creare applicazioni dannose pericolose e per lo più indetectable. Uno dei vantaggi dell’utilizzo di Flutter è che la sua natura difficile da analizzare rende molte soluzioni di sicurezza in contemporanea [completamente] inutili“.
Come difendersi se FluHorse dovesse arrivare in occidente?
Tanto per cominciare: non aprire link da mail strane, né scaricare file APK strani.
Può sembrare una cosa scontata, ma evidentemente così scontata non lo è, altrimenti molte persone non cadrebbero nel tranello più antico di internet.
Francamente non c’è molto da dire oltre questo se non il classico consiglio di utilizzare password robuste, eventualmente l’autenticazione a due fattori e magari una mail diversa che solo tu conosci per taluni servizi.
Del resto come dice un vecchio adagio informatico “problems are between keyborard and chair” (i problemi sono tra la sedia e la tastiera), oggigiorno con gli smartphone andrebbe aggiornato con “problems are between fingers and screen” (i problemi sono tra le dita e lo schermo).
I malware non perdonano e FluHorse non fa eccezione.
————-
Contenuto pubblicato su tech.icrewplay.com Read More
