نصب‌ مخفیانه‌ تبلیغ‌افزارها بر روي تلفن‌هاي همراه اندرویدي

بر اساس اخبار منتشر شده، تعداد زیادی‌ از بازارها در شرق آسیا، هدف سلسله‌ حملات فیشینگ‌ ایمیلی‌ که‌ طی‌ آن گونه‌ جدیدی‌ از بدافزارهای‌ اندرویدی‌ به‌ نام FluHorse توزیع‌ می‌شود، قرار گرفته‌اند. این‌ بدافزار از فریم‌ورك توسعه‌ نرم افزار Flutter سوءاستفاده می‌نماید. در همین‌ رابطه‌، محققان اعلام داشته‌اند که‌ این‌ بدافزار در قالب‌ تعداد زیادی‌ از نرم افزارهای‌ اندرویدی‌ مخرب توزیع‌ شده که‌ برخی‌ از آنها، بیش‌ از ١ میلیون بار دانلود شده اند؛ این‌ نرم افزارها، اطلاعاتی‌ نظیر اطلاعات حساب های‌ کاربری‌ فرد قربانی‌ و کدهای‌ احراز هویت‌ دوعاملی‌ را سرقت‌ می‌کنند. گفته‌ شده این‌ بدافزار، نرم افزارهای‌ بانکی‌ را نیز هدف قرار داده است‌؛ همچنین‌ با توجه‌ به‌ مستندات و شواهد به‌ دست‌ آمده، فعالیت‌های‌ این‌ نرم افزارها حداقل‌ از ماه می‌ سال گذشته‌ میلادی‌ ادامه‌ داشته‌ است‌.

ماهیت‌ این‌ حملات فیشینگ‌ به‌ خودی‌ خود، ساده است‌؛ در این‌ حملات، کاربران توسط‌ ایمیل‌هایی‌ اغوا می‌شوند که‌ شامل‌ لینک‌هایی‌ به‌ یک‌ وبسایت‌ مخرب هستند که‌ میزبان فایل‌ های‌ APK آلوده و مخرب می‌ باشد . علاوه بر وبسایت‌، کنترل­هایی‌ اعمال شده اند که‌ هدف آنها، نظارت بر فرد قربانی‌ و توزیع‌ نرم افزار (در حالتی‌ که‌ User-Agent String مرورگر مورد استفاده ایشان، با مؤلفه‌ مشابه‌ در سیستم‌عامل‌ اندروید تطابق‌ ندارد) می‌باشد. FluHorse پس‌ از نصب‌ بر روی‌ تلفن‌ همراه فرد قربانی‌، خواستار اخذ مجوز دسترسی‌ به‌ پیامک‌ شده و در ادامه‌ از کاربر می‌خواهد تا اطلاعات حساب کاربری‌ به‌ همراه اطلاعات کارت اعتباری‌ خود را درج نماید؛ این‌ اطلاعات در نهایت‌ به‌ صورت مخفیانه‌، به‌ یک‌ سرور راه دور منتقل‌ خواهند شد.

علاوه بر این‌، مهاجمان از دسترسی‌ خود به‌ پیامک‌ استفاده نموده و تمامی‌ پیام های‌ حاوی‌ کدهای‌ احراز هویت‌ دوعاملی‌ را به‌ سوی‌ سرور C2 خود ارسال می‌کنند. تعداد زیادی‌ از سازمان­های‌ شناخته‌ شده، در فهرست‌ دریافت‌کنندگان این‌ ایمیل‌های‌ فیشینگ‌ قرار دارند که‌ شامل‌ کارمندان بخش‌ دولتی‌ و شرکت‌ های‌ بزرگ صنعتی‌ می‌باشند. در عین‌ حال گفته‌ شده تیم‌ های‌ هکری‌ از روش­های‌ مختلفی‌ نظیر تکنیک‌های‌ اجتناب، درهم‌ ریختگی‌ و وقفه‌های‌ طولانی‌ پیش‌ از اجرا شدن، برای‌ مقاومت‌ در برابر تجزیه‌ و تحلیل‌ شدن و قرار گرفتن‌ در محیط‌های‌ آزمایشی‌ استفاده می‌کنند. توسعه‌ دهندگان FluHorse تلاش زیادی‌ در خصوص کدنویسی‌ بدافزار نکرده و در عوض، بر Flutter به‌ عنوان یک‌ پلتفرم توسعه‌، متکی‌ بوده اند. این‌ روش مهاجمان را قادر ساخته‌ تا اپلیکیشن‌های‌ آلوده و خطرناکی‌ که‌ عمدتاً غیرقابل‌ کشف‌ نیز هستند را خلق‌ نمایند.