Investigadores de ciberseguridad han compartido el funcionamiento interno de una familia de malware para Android llamada Fluhorse.
El malware «representa un cambio significativo, ya que incorpora los componentes maliciosos directamente dentro del código de Flutter», dijo Axelle Apvrille, investigadora de Fortinet FortiGuard Labs. dicho en un informe publicado la semana pasada.
Fluhorse fue documentado por primera vez por Check Point a principios de mayo de 2023, detallando sus ataques a usuarios ubicados en el este de Asia a través de aplicaciones maliciosas que se hacen pasar por ETC y VPBank Neo, que son populares en Taiwán y Vietnam. El vector de intrusión inicial del malware es el phishing.
El objetivo final de la aplicación es robar credenciales, detalles de tarjetas de crédito y códigos de autenticación de dos factores (2FA) recibidos como SMS a un servidor remoto bajo el control de los atacantes.
Los últimos hallazgos de Fortinet, que realizó ingeniería inversa de un muestra de caballo fluvio cargado en VirusTotal el 11 de junio de 2023, sugiere que el malware ha evolucionado, incorporando sofisticación adicional al ocultar la carga útil cifrada en un empaquetador.
«El descifrado se realiza a nivel nativo (para fortalecer la ingeniería inversa) utilizando la API criptográfica EVP de OpenSSL», explicó Apvrille. El algoritmo de cifrado es AES-128-CBC y su implementación utiliza la misma cadena codificada para la clave y el vector de inicialización (IV)».
La carga útil descifrada, un archivo ZIP, contiene un archivo ejecutable de Dalvik (.dex), que luego se instala en el dispositivo para escuchar los mensajes SMS entrantes y filtrarlos al servidor remoto.
«Revertir las aplicaciones de Flutter de forma estática es un gran avance para los investigadores de antivirus, ya que, desafortunadamente, se espera que se lancen más aplicaciones de Flutter maliciosas en el futuro», dijo Apvrille.