FluHorse to nowy malware na smartfony z Androidem, który wykrada dane bankowe – alarmują eksperci z Check Point. Jest to przy tym zagrożenie dość nietypowe, a co za tym idzie trudne do wykrycia i unieszkodliwienia.
Szkodliwe oprogramowanie na Androida i fałszywe maile – co łączy te dwa wątki? Odpowiedź brzmi: atak FluHorse, który, jak alarmują badacze z Check Point, staje się coraz popularniejszy. Małym pocieszeniem może być, że na razie szkodnik grasuje głównie na terenie Azji, ale oczywiście jego ekspansji nie da się wykluczyć.
W odróżnieniu od typowego malware'u na Androida, FluHorse nie znajduje się, przynajmniej na razie, w Sklepie Play. Zamiast tego jest dystrybuowany mailowo jako plik APK do ręcznej instalacji, choć, co podkreślają eksperci, wcale nie czyni to go mniej groźnym. Przestępcy bowiem podszywają się pod lokalne banki i analizują przy tym User Agent, dzięki czemu użytkownikom platform innych niż Android mogą wyświetlić całkowicie niegroźną treść.
Sam FluHorse podszywa się pod inne aplikacje, głównie właśnie bankowe, by po instalacji zażądać uprawnień do SMS-ów i podłączenia karty płatniczej. W ten sposób może wyprowadzić środki z powiązanego z kartą rachunku, obchodząc jednocześnie weryfikację dwuetapową.
Najgorsze jest jednak to, jak podkreśla Check Point, że FluHorse to oprogramowanie dość unikatowe pod względem technicznym, co utrudnia jego wykrycie przez programy antywirusowe. Chodzi o to, że napastnicy, zamiast tworzyć malware ręcznie, zbudowali go w oparciu o wieloplatformowe środowisko Flutter.
Użycie tego narzędzia sprawia, że końcowa aplikacja ma trudny do przeanalizowania charakter, gdyż nie odnosi się wprost do systemu operacyjnego, a korzysta w międzyczasie z pośredniczącego w tym interfejsu. Taka struktura skutecznie paraliżuje większość dostępnych zabezpieczeń.
Wiadomo, że malware aktywny jest co najmniej od maja 2022 roku i został w tym czasie wykorzystany do ataków na klientów kilku największych azjatyckich banków, w tym ETC i VPBank Neo. Ale Check Point dodaje też, że nie stanowi większego problemu skierowanie ataku przeciwko klientom innych, a więc również europejskich, instytucji finansowych.
Źródło zdjęć: Przemek Banasiak / Telepolis
Źródło tekstu: Materiały prasowe, oprac. własne