Ngày 05 tháng 5 năm 2023Ravie LakshmananBảo mật di động / Android
Nhiều lĩnh vực khác nhau ở các thị trường Đông Á đã phải chịu một chiến dịch lừa đảo qua email mới phân phối một loại phần mềm độc hại Android không có giấy tờ trước đây có tên là CúmNgựa lạm dụng khuôn khổ phát triển phần mềm Flutter.
“Phần mềm độc hại có một số ứng dụng Android độc hại bắt chước các ứng dụng hợp pháp, hầu hết trong số đó có hơn 1.000.000 lượt cài đặt”, Check Point cho biết trong một báo cáo kỹ thuật. “Những ứng dụng độc hại này đánh cắp thông tin đăng nhập và mã xác thực hai yếu tố (2FA) của nạn nhân.”
Các ứng dụng độc hại đã bị phát hiện bắt chước các ứng dụng như ETC và VPBank Neo, được sử dụng ở Đài Loan và Việt Nam. Bằng chứng thu thập được cho đến nay cho thấy hoạt động này đã hoạt động ít nhất từ tháng 5 năm 2022.
Bản thân kế hoạch lừa đảo này khá đơn giản, trong đó nạn nhân bị dụ bằng các email có chứa liên kết đến một trang web không có thật lưu trữ các tệp APK độc hại. Ngoài ra, trang web còn có các kiểm tra nhằm sàng lọc nạn nhân và chỉ phân phối ứng dụng nếu chuỗi Tác nhân người dùng trên trình duyệt của họ khớp với chuỗi của Android.
Sau khi được cài đặt, phần mềm độc hại yêu cầu quyền SMS và nhắc người dùng nhập thông tin đăng nhập và thông tin thẻ tín dụng của họ, tất cả những thông tin này sau đó được chuyển đến một máy chủ từ xa trong nền trong khi nạn nhân được yêu cầu đợi trong vài phút.
Các tác nhân đe dọa cũng lạm dụng quyền truy cập của chúng vào tin nhắn SMS để chặn tất cả các mã 2FA gửi đến và chuyển hướng chúng đến máy chủ chỉ huy và kiểm soát.
Công ty an ninh mạng của Israel cho biết họ cũng đã xác định được một ứng dụng hẹn hò đã chuyển hướng người dùng nói tiếng Trung Quốc đến các trang đích giả mạo được thiết kế để lấy thông tin thẻ tín dụng.
Thật thú vị, chức năng độc hại được triển khai với Flutter, một bộ công cụ phát triển phần mềm giao diện người dùng nguồn mở có thể được sử dụng để phát triển các ứng dụng đa nền tảng từ một cơ sở mã duy nhất.
Mặc dù các tác nhân đe dọa được biết là sử dụng nhiều thủ thuật như kỹ thuật trốn tránh, che giấu và trì hoãn lâu trước khi thực hiện để chống lại phân tích và vượt qua môi trường ảo, nhưng việc sử dụng Flutter đánh dấu một mức độ tinh vi mới.
Các nhà nghiên cứu kết luận: “Các nhà phát triển phần mềm độc hại đã không nỗ lực nhiều vào việc lập trình, thay vào đó dựa vào Flutter như một nền tảng đang phát triển”.
“Cách tiếp cận này cho phép họ tạo ra các ứng dụng độc hại nguy hiểm và hầu như không bị phát hiện. Một trong những lợi ích của việc sử dụng Flutter là bản chất khó phân tích của nó khiến nhiều giải pháp bảo mật hiện đại trở nên vô giá trị.”
