Les chercheurs en cybersécurité ont partagé le fonctionnement interne d’une famille de logiciels malveillants Android appelée Fluhorse.
Le malware « représente un changement significatif car il intègre les composants malveillants directement dans le code Flutter », a déclaré Axelle Apvrille, chercheuse chez Fortinet FortiGuard Labs. a dit dans un rapport publié la semaine dernière.
Fluhorse a été documenté pour la première fois par Check Point début mai 2023, détaillant ses attaques contre des utilisateurs situés en Asie de l’Est via des applications malveillantes se faisant passer pour ETC et VPBank Neo, qui sont populaires à Taïwan et au Vietnam. Le vecteur d’intrusion initial du malware est le phishing.
Le but ultime de l’application est de voler les informations d’identification, les détails de la carte de crédit et les codes d’authentification à deux facteurs (2FA) reçus sous forme de SMS vers un serveur distant sous le contrôle des acteurs de la menace.
Les dernières découvertes de Fortinet, qui a procédé à la rétro-ingénierie d’un Échantillon Fluhorse téléchargés sur VirusTotal le 11 juin 2023, suggèrent que le logiciel malveillant a évolué, incorporant une sophistication supplémentaire en dissimulant la charge utile cryptée dans un packer.
« Le décryptage est effectué au niveau natif (pour renforcer l’ingénierie inverse) à l’aide de l’API cryptographique EVP d’OpenSSL », a expliqué Apvrille. L’algorithme de chiffrement est AES-128-CBC, et sa mise en œuvre utilise la même chaîne codée en dur pour la clé et le vecteur d’initialisation (IV). »
La charge utile déchiffrée, un fichier ZIP, contient en son sein un fichier exécutable Dalvik (.dex), qui est ensuite installé sur l’appareil pour écouter les SMS entrants et les exfiltrer vers le serveur distant.
« L’inversion statique des applications Flutter est une percée pour les chercheurs en antivirus, car, malheureusement, davantage d’applications Flutter malveillantes devraient être publiées à l’avenir », a déclaré Apvrille.