Alcuni ricercatori di cybersecurity hanno condiviso il funzionamento interno di una famiglia di malware Android chiamata Fluhorse, della era già stato detto qualcosa in precedenza riguardo al caso Fortnite.
Fluhorse, cosa cambia rispetto al caso Fortinet
Il malware “rappresenta una significativa evoluzione in quanto incorpora direttamente i componenti maligni nel codice Flutter“, ha dichiarato Axelle Apvrille, ricercatore di Fortinet FortiGuard Labs, in un rapporto pubblicato la scorsa settimana.
Fluhorse è stato documentato per la prima volta da Check Point all’inizio di maggio 2023, descrivendo i suoi attacchi agli utenti dell’Asia orientale tramite app fraudolente che si fingono ETC e VPBank Neo, molto popolari a Taiwan e in Vietnam.
Il vettore d’attacco iniziale di intrusione per il malware è il phishing (furto dei dati con l’inganno).
L’obiettivo finale dell’app è rubare credenziali, dettagli delle carte di credito e codici di autenticazione a due fattori (2FA) ricevuti tramite SMS a un server remoto controllato dagli hacker.
Le ultime scoperte di Fortinet, che hanno decodificato un esempio di Fluhorse caricato su VirusTotal l’11 giugno 2023, suggeriscono che il malware si è evoluto, incorporando ulteriori sofisticazioni nascondendo il payload crittografato in un packer.
“La decrittazione viene effettuata a livello nativo (per rendere più difficile l’ingegneria inversa) utilizzando l’API crittografica EVP di OpenSSL“, ha spiegato Apvrille. L’algoritmo di crittografia utilizzato è AES-128-CBC e la sua implementazione utilizza la stessa stringa codificata a chiave e vettore di inizializzazione (IV).
Il payload decrittato, un file ZIP, contiene al suo interno un file eseguibile Dalvik (.dex), che viene quindi installato sul dispositivo per ascoltare i messaggi SMS in arrivo ed esfiltrarli verso il server remoto.
“Decodificare staticamente le applicazioni Flutter è una svolta per i ricercatori antivirus, poiché purtroppo si prevede che verranno rilasciate in futuro altre app Flutter dannose“, ha concluso Apvrille.
