Ngày 29 tháng 6 năm 2023Ravie LakshmananBảo mật di động / Phần mềm độc hại
Các nhà nghiên cứu an ninh mạng đã chia sẻ hoạt động bên trong của họ phần mềm độc hại Android có tên ngựa vằn.
Nhà nghiên cứu Axelle Apvrille của Fortinet FortiGuard Labs cho biết phần mềm độc hại “đại diện cho một sự thay đổi đáng kể vì nó kết hợp các thành phần độc hại trực tiếp trong mã Flutter”.
Fluhorse lần đầu tiên được Check Point ghi lại vào đầu tháng 5 năm 2023, nêu chi tiết các cuộc tấn công của nó nhằm vào người dùng ở Đông Á thông qua các ứng dụng lừa đảo giả danh ETC và VPBank Neo, phổ biến ở Đài Loan và Việt Nam. Vectơ xâm nhập ban đầu của phần mềm độc hại là lừa đảo.
Mục tiêu cuối cùng của ứng dụng là đánh cắp thông tin đăng nhập, chi tiết thẻ tín dụng và mã xác thực hai yếu tố (2FA) nhận được dưới dạng SMS đến một máy chủ từ xa dưới sự kiểm soát của các tác nhân đe dọa.
Những phát hiện mới nhất từ Fortinet, công ty đã thiết kế ngược một mẫu Fluhorse được tải lên VirusTotal vào ngày 11 tháng 6 năm 2023, cho thấy rằng phần mềm độc hại đã phát triển, kết hợp thêm sự tinh vi bằng cách che giấu tải trọng được mã hóa trong một trình đóng gói.
“Việc giải mã được thực hiện ở cấp độ gốc (để tăng cường kỹ thuật đảo ngược) bằng cách sử dụng API mật mã EVP của OpenSSL,” Apvrille giải thích. Thuật toán mã hóa là AES-128-CBC và việc triển khai thuật toán này sử dụng cùng một chuỗi mã hóa cứng cho khóa và vectơ khởi tạo (IV).”
Tải trọng được giải mã, một tệp ZIP, chứa bên trong tệp thực thi Dalvik (.dex), tệp này sau đó được cài đặt trên thiết bị để nghe các tin nhắn SMS đến và trích xuất chúng đến máy chủ từ xa.
Apvrille cho biết: “Đảo ngược tĩnh các ứng dụng Flutter là một bước đột phá đối với các nhà nghiên cứu chống vi-rút, vì thật không may, nhiều ứng dụng Flutter độc hại hơn dự kiến sẽ được phát hành trong tương lai”.
