Siber güvenlik araştırmacıları, adlı bir Android kötü amaçlı yazılım ailesinin iç işleyişini paylaştılar. Fluhorse.
Fortinet FortiGuard Labs araştırmacısı Axelle Apvrille, kötü amaçlı yazılımın “kötü amaçlı bileşenleri doğrudan Flutter koduna dahil ettiği için önemli bir değişimi temsil ediyor” dedi. söz konusu geçen hafta yayınlanan bir raporda.
Fluhorse ilk olarak Mayıs 2023’ün başlarında Check Point tarafından belgelendi ve Tayvan ve Vietnam’da popüler olan ETC ve VPBank Neo kılığına giren hileli uygulamalar aracılığıyla Doğu Asya’da bulunan kullanıcılara yönelik saldırılarının ayrıntılarını verdi. Kötü amaçlı yazılım için ilk izinsiz giriş vektörü kimlik avıdır.
Uygulamanın nihai amacı, tehdit aktörlerinin kontrolü altındaki uzak bir sunucuya SMS olarak alınan kimlik bilgilerini, kredi kartı bilgilerini ve iki faktörlü kimlik doğrulama (2FA) kodlarını çalmaktır.
Tersine mühendislik yapan Fortinet’in son bulguları Fluhorse örneği 11 Haziran 2023’te VirusTotal’a yüklenen kötü amaçlı yazılımın, şifrelenmiş yükü bir paketleyicide gizleyerek ek karmaşıklık ekleyerek geliştiğini gösteriyor.
Apvrille, “Şifre çözme, OpenSSL’nin EVP şifreleme API’si kullanılarak yerel düzeyde (tersine mühendisliği güçlendirmek için) gerçekleştirilir” dedi. Şifreleme algoritması AES-128-CBC’dir ve uygulanması, anahtar ve başlatma vektörü (IV) için aynı sabit kodlanmış diziyi kullanır.”
Bir ZIP dosyası olan şifresi çözülmüş yük, içinde bir Dalvik yürütülebilir dosyası (.dex), daha sonra gelen SMS mesajlarını dinlemek ve bunları uzak sunucuya sızdırmak için cihaza yüklenir.
Apvrille, “Flutter uygulamalarını statik olarak tersine çevirmek, ne yazık ki gelecekte daha kötü amaçlı Flutter uygulamalarının piyasaya sürülmesi beklendiğinden, virüsten koruma araştırmacıları için bir dönüm noktasıdır” dedi.