Varios sectores en los mercados de Asia oriental han sido objeto de una nueva campaña de phishing por correo electrónico que distribuye una cepa de malware de Android previamente no documentada llamada gripecaballo que abusa del marco de desarrollo de software de Flutter.
«El malware presenta varias aplicaciones maliciosas de Android que imitan aplicaciones legítimas, la mayoría de las cuales tienen más de 1.000.000 de instalaciones», Check Point dicho en un informe técnico. «Estas aplicaciones maliciosas roban las credenciales de las víctimas y los códigos de autenticación de dos factores (2FA)».
Se ha descubierto que las aplicaciones maliciosas imitan aplicaciones como ETC y VPBank Neo, que se utilizan en Taiwán y Vietnam. La evidencia reunida hasta ahora muestra que la actividad ha estado activa desde al menos mayo de 2022.
El esquema de phishing en sí mismo es bastante sencillo, en el que las víctimas son atraídas con correos electrónicos que contienen enlaces a un sitio web falso que aloja archivos APK maliciosos. También se agregaron al sitio web controles que tienen como objetivo filtrar a las víctimas y entregar la aplicación solo si su navegador Cadena de agente de usuario coincide con el de Android.
Una vez instalado, el malware solicita permisos de SMS y solicita al usuario que ingrese sus credenciales y la información de la tarjeta de crédito, todo lo cual se extrae posteriormente a un servidor remoto en segundo plano mientras se le pide a la víctima que espere varios minutos.
Los actores de amenazas también abusan de su acceso a los mensajes SMS para interceptar todos los códigos 2FA entrantes y redirigirlos al servidor de comando y control.
La firma de seguridad cibernética israelí dijo que también identificó una aplicación de citas que redirigía a los usuarios de habla china a páginas de destino maliciosas que están diseñadas para capturar información de tarjetas de crédito.
Aprenda a detener el ransomware con protección en tiempo real
Únase a nuestro seminario web y aprenda cómo detener los ataques de ransomware en seco con MFA en tiempo real y protección de cuenta de servicio.
Curiosamente, la funcionalidad maliciosa se implementa con Aleteoun kit de desarrollo de software de interfaz de usuario de código abierto que se puede utilizar para desarrollar aplicaciones multiplataforma a partir de un único código base.
Si bien se sabe que los actores de amenazas usan una variedad de trucos como técnicas de evasión, ofuscación y largas demoras antes de la ejecución para resistir el análisis y sortear entornos virtuales, el uso de Flutter marca un nuevo nivel de sofisticación.
«Los desarrolladores de malware no pusieron mucho esfuerzo en la programación, sino que confiaron en Flutter como plataforma de desarrollo», concluyeron los investigadores.
«Este enfoque les permitió crear aplicaciones maliciosas peligrosas y en su mayoría no detectadas. Uno de los beneficios de usar Flutter es que su naturaleza difícil de analizar hace que muchas soluciones de seguridad contemporáneas no tengan valor».