Siber güvenlik araştırmacıları, adlı bir Android kötü amaçlı yazılım ailesinin iç işleyişini paylaştı. Fluhorse.
Fortinet FortiGuard Labs araştırmacısı Axelle Apvrille geçen hafta yayınlanan bir raporda, kötü amaçlı yazılımın “kötü amaçlı bileşenleri doğrudan Flutter koduna dahil ettiği için önemli bir değişimi temsil ettiğini” söyledi.
Fluhorse ilk olarak Mayıs 2023’ün başlarında Check Point tarafından belgelendi ve Tayvan ve Vietnam’da popüler olan ETC ve VPBank Neo kılığına giren hileli uygulamalar aracılığıyla Doğu Asya’da bulunan kullanıcılara yönelik saldırılarının ayrıntılarını verdi. Kötü amaçlı yazılım için ilk izinsiz giriş vektörü kimlik avıdır.
Uygulamanın nihai amacı, tehdit aktörlerinin kontrolü altındaki uzak bir sunucuya SMS olarak alınan kimlik bilgilerini, kredi kartı bilgilerini ve iki faktörlü kimlik doğrulama (2FA) kodlarını çalmaktır.
11 Haziran 2023’te VirusTotal’a yüklenen bir Fluhorse örneğine tersine mühendislik uygulayan Fortinet’in en son bulguları, kötü amaçlı yazılımın, şifrelenmiş yükü bir paketleyicide gizleyerek ek karmaşıklık ekleyerek geliştiğini gösteriyor.
Apvrille, “Şifre çözme, OpenSSL’nin EVP kriptografik API’si kullanılarak yerel düzeyde (tersine mühendisliği güçlendirmek için) gerçekleştirilir.” Şifreleme algoritması AES-128-CBC’dir ve uygulanması, anahtar ve başlatma vektörü (IV) için aynı sabit kodlanmış diziyi kullanır.”
Bir ZIP dosyası olan şifresi çözülmüş yük, içinde daha sonra gelen SMS mesajlarını dinlemek ve uzak sunucuya sızdırmak için cihaza yüklenen bir Dalvik yürütülebilir dosyası (.dex) içerir.
Apvrille, “Flutter uygulamalarını statik olarak tersine çevirmek, ne yazık ki gelecekte daha kötü amaçlı Flutter uygulamalarının piyasaya sürülmesi beklendiğinden, virüsten koruma araştırmacıları için bir dönüm noktasıdır” dedi.