Blog News
«حمله بدافزار اندرویدي FluHorse به بازارهاي آسیایی»
«حمله بدافزار اندرویدي FluHorse به بازارهاي آسیایی»
بر اساس اخبار منتشر شده، تعداد زیادی از بازارها در شرق آسیا، هدف سلسله حملات فیشینگ ایمیلی که طی آن گونه جدیدی از بدافزارهای اندرویدی به نام FluHorse توزیع میشود، قرار گرفتهاند. این بدافزار از فریم ورك توسعه نرم افزار Flutter سوءاستفاده مینماید. در همین رابطه، محققان اعلام داشته اند که این بدافزار در قالب تعداد زیادی از نرم افزارهای اندرویدی مخرب توزیع شده است که برخی از این نرم افزارها، بیش از ١ میلیون بار دانلود شده اند؛ این نرم افزارها، اطلاعاتی نظیر اطلاعات حساب های کاربری قربانی و کدهای احراز هویت دوعاملی را سرقت می کنند.
گفته شده این بدافزار، نرم افزارهای بانکی را نیز هدف قرار داده است؛ همچنین با توجه به مستندات و شواهد به دست آمده، فعالیت های این نرم افزارها حداقل از ماه می سال گذشته میلادی ادامه داشته است. ماهیت این حملات فیشینگ به خودی خود، ساده است؛ در این حملات، کاربران توسط ایمیلهایی اغوا میشوند که شامل لینک هایی به یک وب سایت مخرب هستند که میزبان فایل های APK آلوده و مخرب میباشد. علاوه بر وب سایت، کنترل هایی هستند که هدف آن ها، نظارت بر فرد قربانی و توزیع نرم افزار (در حالتی که User-Agent String مرورگر مورد استفاده ایشان، با مؤلفه مشابه در سیستمعامل اندروید تطابق ندارد) میباشد.
FluHorse پس از نصب بر روی تلفن همراه فرد قربانی، خواستار اخذ مجوز دسترسی به پیامک شده و در ادامه از کاربر میخواهد تا اطلاعات حساب کاربری به همراه اطلاعات کارت اعتباری خود را درج نماید؛ این اطلاعات در نهایت به صورت مخفیانه، به یک سرور راه دور منتقل خواهند شد. علاوه بر این، مهاجمان از دسترسی خود به پیامک استفاده نموده و تمامی پیام های حاوی کدهای احراز هویت دوعاملی را به سوی سرور C2 خود ارسال می کنند. گفته شده تعداد زیادی از سازمان های شناخته شده، در فهرست دریافتکنندگان این ایمیلهای فیشینگ هستند که شامل کارمندان بخش دولتی و شرکتهای صنعتی بزرگ می باشند.
ساز و کارها و عملکردهای مخرب، با استفاده از Flutter پیاده سازی میشوند؛ شایان ذکر است Flutter یک کیت توسعه نرم افزار منبع باز میباشد که میتواند به منظور توسعه نرم افزارهای فرا پلتفرمی استفاده شود. در عین حال گفته شده تیمهای هکری از روش های مختلفی نظیر تکنیکهای اجتناب، درهم ریختگی و وقفههای طولانی پیش از اجرا شدن، برای مقاومت در برابر تجزیه و تحلیل شدن و قرار گرفتن در محیط های مجازی استفاده می کنند. توسعهدهندگان FluHorse تلاش زیادی در خصوص کدنویسی بدافزار نکرده و در عوض، بر Flutter به عنوان یک پلتفرم توسعه، متکی بوده اند. این روش مهاجمان را قادر ساخته تا اپلیکیشنهای آلوده و خطرناکی که عمدتاً غیرقابل کشف نیز هستند را خلق نمایند.