Un nouveau malware Android appelé « FluHorse » a été découvert, ciblant les utilisateurs d’Asie de l’Est avec des applications malveillantes qui imitent les versions légitimes.

Le logiciel malveillant a été découvert par Check Point Research, qui rapporte qu’il cible divers secteurs de l’Asie de l’Est depuis mai 2022.

Le malware FluHorse est distribué par e-mail, tandis que son objectif est de voler les informations d’identification du compte et les données de carte de crédit de sa cible et, si nécessaire, d’arracher les codes d’authentification à deux facteurs (2FA).

Cibles de premier plan
Les attaques FluHorse commencent par des e-mails malveillants envoyés à des cibles de premier plan, les invitant à prendre des mesures immédiates pour résoudre un problème de paiement.

En règle générale, la victime est dirigée vers un site de phishing via un lien fourni dans l’e-mail, d’où elle télécharge la fausse application APK (fichier de package Android).

Les applications imitées par les applications de transporteur FluHorse sont « ETC », une application de péage utilisée à Taïwan, et « VPBank Neo », une application bancaire au Vietnam. Les deux versions légitimes de ces applications ont chacune plus d’un million de téléchargements sur Google Play.

Check Point a également observé le logiciel malveillant se faisant passer pour une application de transport utilisée par 100 000 personnes, mais son nom n’a pas été divulgué dans le rapport.

Les trois fausses applications demandent un accès SMS lors de l’installation pour intercepter les codes 2FA entrants au cas où il serait nécessaire de détourner les comptes.

Les analystes commentent que les fausses applications copient l’interface graphique des originaux mais ne comportent pas beaucoup de fonctionnalités à part deux ou trois fenêtres qui chargent les formulaires qui capturent les informations de la victime.

Après avoir capturé les informations d’identification du compte et les détails de la carte de crédit des victimes, les applications affichent un message « le système est occupé » pendant 10 minutes, susceptible de rendre le processus réaliste tandis que les opérateurs agissent en arrière-plan pour intercepter les codes 2FA et exploiter les données volées.

CheckPoint indique que les applications malveillantes ont été créées dans Dart, à l’aide de la plate-forme Flutter, et que l’ingénierie inverse et la décompilation du logiciel malveillant étaient difficiles.

« Le runtime Flutter pour ARM utilise son propre registre de pointeur de pile (R15) au lieu du pointeur de pile intégré (SP) », lit le rapport de Check Point.

« Quel registre soit utilisé comme pointeur de pile ne fait aucune différence dans l’exécution du code ou dans le processus de rétro-ingénierie. Cependant, cela fait une grande différence pour le décompilateur. En raison d’une utilisation non standard des registres, un faux et laid pseudocode est généré . »

L’analyse était si difficile que CheckPoint a fini par apporter des améliorations aux outils open source existants tels que « flutter-re-demo » et « reFlutter ».

En fin de compte, ces travaux ont révélé les fonctions responsables de l’exfiltration des informations d’identification des victimes, des données de carte de crédit et de la communication HTTP POST qui a envoyé les messages SMS interceptés au serveur C2.

CheckPoint avertit que la campagne FluHorse est en cours, avec de nouvelles infrastructures et des applications malveillantes apparaissant chaque mois, il s’agit donc d’une menace active pour les utilisateurs d’Android.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *