تطبيق أندرويد يسرق كلمات المرور والمعلومات الهامة ، تم اكتشاف برنامج ضار جديد على نظام Android يسمى “FluHorse” أو إنفلونزا الحصان ، ويستهدف المستخدمين بتطبيقات ضارة تحاكي الإصدارات الشرعية.
انتبه .. تطبيق أندرويد يسرق كلمات المرور والمعلومات الهامة
تم اكتشاف البرنامج الضار بواسطة Check Point Research والذي أفاد بأنه كان يستهدف قطاعات مختلفة في شرق آسيا منذ مايو 2022 ، ويتم توزيع برنامج FluHorse الضار عبر البريد الإلكتروني في حين أن هدفه هو سرقة بيانات اعتماد حساب الهدف وبيانات بطاقة الائتمان وإذا لزم الأمر انتزاع رموز المصادقة الثنائية two-factor authentication أو (2FA).
أهداف بارزة
تبدأ هجمات FluHorse بإرسال رسائل بريد إلكتروني ضارة إلى أهداف بارزة تحثهم على اتخاذ إجراءات فورية لحل مشكلة الدفع.
عادة يتم توجيه الضحية إلى موقع تصيد عبر رابط موجود في البريد الإلكتروني حيث يقومون بتنزيل التطبيق المزيف APK (ملف حزمة Android) من التطبيقات المحاكية بواسطة تطبيقات شركة FluHorse هي “ETC” وهو تطبيق لتحصيل الرسوم يستخدم في تايوان و “VPBank Neo” وهو تطبيق مصرفي في فيتنام ، ويحتوي كلا الإصدارين الشرعيين من هذه التطبيقات على أكثر من مليون عملية تنزيل على Google Play.
لاحظت Check Point أيضًا أن البرنامج الضار يتظاهر بأنه تطبيق نقل يستخدمه 100000 شخص لكن لم يتم الكشف عن اسمه في التقرير ، وتطلب جميع التطبيقات المزيفة الثلاثة الوصول إلى الرسائل القصيرة عند التثبيت لاعتراض رموز 2FA الواردة في حالة الحاجة إلى اختطاف الحسابات.
يعلق المحللون على أن التطبيقات المزيفة تنسخ واجهة المستخدم الرسومية للنسخ الأصلية ولكنها لا تتميز بالكثير من الوظائف إلى جانب نافذتين أو ثلاثة تقوم بتحميل النماذج التي تلتقط معلومات الضحية.
بعد التقاط بيانات اعتماد حساب الضحايا وتفاصيل بطاقة الائتمان تعرض التطبيقات رسالة “النظام مشغول” system is busy لمدة 10 دقائق ومن المرجح أن تجعل العملية تبدو واقعية بينما يتصرف المشغلون في الخلفية لاعتراض رموز 2FA والاستفادة من البيانات المسروقة.
وتشير CheckPoint إلى أن التطبيقات الضارة تم إنشاؤها في Dart باستخدام منصة Flutter وأن الهندسة العكسية وتفكيك البرامج الضارة كان أمرًا صعبًا ، ويقرأ تقرير Check Point “وقت تشغيل Flutter لـ ARM يستخدم سجل مؤشر المكدس الخاص به (R15) بدلاً من مؤشر المكدس المدمج (SP)” ، “أي سجل يتم استخدامه كمؤشر مكدس لا يحدث فرقًا في تنفيذ التعليمات البرمجية أو في عملية الهندسة العكسية ، ومع ذلك فإنه يحدث فرقًا كبيرًا لمزيل التحويل البرمجي. نظرًا لاستخدام السجل غير القياسي يتم إنشاء رمز زائف خاطئ وقبيح “.
وكان التحليل صعبًا للغاية لدرجة أن CheckPoint انتهى بها الأمر بالمساهمة في تحسين أدوات المصدر المفتوح الحالية مثل “flutter-re-demo” و “reFlutter” ، وفي النهاية كشف هذا العمل عن الوظائف المسؤولة عن إخراج أوراق اعتماد الضحايا وبيانات بطاقة الائتمان واتصال HTTP POST الذي أرسل رسائل SMS التي تم اعتراضها إلى خادم C2 ، وتحذر CheckPoint من أن حملة FluHorse مستمرة مع ظهور بنية تحتية جديدة وتطبيقات ضارة كل شهر لذلك يعد هذا تهديدًا نشطًا لمستخدمي Android.