網絡安全研究人員分享了一個名為Fluhorse的Android惡意軟件的內部運作情況。

Fortinet FortiGuard實驗室研究員Axelle Apvrille在上周發表的一份報告中說,這種惡意軟件的出現代表了一種重大轉變,因為它直接將惡意組件納入Flutter代碼中。

Check Point在2023年5月初首次記錄了Fluhorse,詳細說明了它通過偽裝成ETC和VPBank Neo的流氓應用程序對位于東亞的用戶進行攻擊,尤其是在越南。

該惡意軟件最初是通過網絡釣魚的方式來入侵,最終目標是竊取憑證、信用卡信息和以短信形式收到的雙因素認證(2FA)信息,并將其發送到威脅者控制的遠程服務器。

Fortinet對2023年6月11日上傳到VirusTotal的Fluhorse樣本進行了逆向工程,其最新發現表明,該惡意軟件已經進化,通過將加密的有效載荷隱藏在一個打包器中,融入了更多的復雜性。

Apvrille解釋說:解密是使用OpenSSL的EVP加密API在原生水平上進行的(以加強逆向工程)。加密算法是AES-128-CBC,其實現使用相同的硬編碼字符串作為密鑰和初始化向量(IV)。

解密后的有效載荷是一個ZIP文件,其中包含一個Dalvik可執行文件(.dex),然后將其安裝在設備上,以監聽傳入的短信并將其外流到遠程服務器上。

Apvrille說:靜態逆轉Flutter應用程序是反病毒研究人員的一個突破,但是不幸的是,預計未來會有更多的惡意Flutter應用程序發布。

安卓軟件 網絡安全
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接