Malware Android baru yang disebut ‘FluHorse’ telah ditemukan, menargetkan pengguna di Asia Timur dengan aplikasi jahat yang meniru versi yang sah.
Malware tersebut ditemukan oleh Check Point Research, yang melaporkan telah menargetkan berbagai sektor di Asia Timur sejak Mei 2022.
Malware FluHorse didistribusikan melalui email, sementara tujuannya adalah untuk mencuri kredensial akun dan data kartu kredit targetnya dan, jika perlu, merebut kode autentikasi dua faktor (2FA).
Target profil tinggi
Serangan FluHorse dimulai dengan email jahat yang dikirim ke target profil tinggi, mendesak mereka untuk mengambil tindakan segera untuk menyelesaikan masalah pembayaran.
Biasanya, korban diarahkan ke situs phishing melalui tautan yang disediakan di email, tempat mereka mengunduh APK aplikasi palsu (file paket Android).
Aplikasi yang ditiru oleh aplikasi operator FluHorse adalah ‘ETC’, aplikasi pengumpul pulsa yang digunakan di Taiwan, dan ‘VPBank Neo’, aplikasi perbankan di Vietnam. Kedua versi resmi dari aplikasi ini masing-masing memiliki lebih dari satu juta unduhan di Google Play.
Check Point juga mengamati malware yang menyamar sebagai aplikasi transportasi yang digunakan oleh 100.000 orang, namun namanya tidak diungkapkan dalam laporan tersebut.
Ketiga aplikasi palsu tersebut meminta akses SMS setelah penginstalan untuk mencegat kode 2FA yang masuk jika diperlukan untuk membajak akun.
(Titik Pemeriksaan)
Analis berkomentar bahwa aplikasi palsu menyalin GUI dari aslinya tetapi tidak menampilkan banyak fungsi selain dua-tiga jendela yang memuat formulir yang menangkap informasi korban.
Setelah menangkap kredensial akun korban dan detail kartu kredit, aplikasi menampilkan pesan “sistem sedang sibuk” selama 10 menit, kemungkinan membuat proses tampak realistis sementara operator bertindak di latar belakang untuk mencegat kode 2FA dan memanfaatkan data yang dicuri.
CheckPoint mengatakan bahwa aplikasi jahat dibangun di Dart, menggunakan platform Flutter, dan merekayasa balik serta mendekompilasi malware itu menantang.
“Flutter runtime untuk ARM menggunakan register penunjuk tumpukannya sendiri (R15) alih-alih penunjuk tumpukan bawaan (SP),” membaca Laporan Check Point.
“Register mana yang digunakan sebagai penunjuk tumpukan tidak membuat perbedaan dalam eksekusi kode atau dalam proses rekayasa balik. Namun, itu membuat perbedaan besar bagi dekompilasi. Karena penggunaan register yang tidak standar, pseudocode yang salah dan jelek dihasilkan .”
Analisisnya sangat menantang sehingga CheckPoint akhirnya memberikan kontribusi peningkatan pada alat sumber terbuka yang ada seperti ‘flutter-re-demo’ dan ‘reFlutter.’
Pada akhirnya, pekerjaan ini mengungkap fungsi yang bertanggung jawab untuk mengekstrak kredensial korban, data kartu kredit, dan komunikasi HTTP POST yang mengirim pesan SMS yang disadap ke server C2.
CheckPoint memperingatkan bahwa kampanye FluHorse sedang berlangsung, dengan infrastruktur baru dan aplikasi jahat muncul setiap bulan, jadi ini merupakan ancaman aktif bagi pengguna Android.
