Divers secteurs des marchés d’Asie de l’Est ont fait l’objet d’une nouvelle campagne de phishing par e-mail qui distribue une souche de logiciels malveillants Android auparavant non documentée appelée GrippeCheval qui abuse du framework de développement logiciel Flutter.
« Le malware contient plusieurs applications Android malveillantes qui imitent des applications légitimes, dont la plupart ont plus de 1 000 000 d’installations », a déclaré Check Point. a dit dans un rapport technique. « Ces applications malveillantes volent les informations d’identification des victimes et les codes d’authentification à deux facteurs (2FA). »
Il a été découvert que les applications malveillantes imitaient des applications telles que ETC et VPBank Neo, qui sont utilisées à Taïwan et au Vietnam. Les preuves recueillies jusqu’à présent montrent que l’activité est active depuis au moins mai 2022.
Le schéma de phishing en lui-même est assez simple, dans lequel les victimes sont attirées par des e-mails contenant des liens vers un faux site Web qui héberge des fichiers APK malveillants. Sont également ajoutés au site Web des contrôles visant à filtrer les victimes et à ne fournir l’application que si leur navigateur Chaîne utilisateur-agent correspond à celui d’Android.
Une fois installé, le logiciel malveillant demande des autorisations SMS et invite l’utilisateur à saisir ses informations d’identification et ses informations de carte de crédit, qui sont ensuite exfiltrées vers un serveur distant en arrière-plan pendant que la victime est invitée à attendre plusieurs minutes.
Les acteurs de la menace abusent également de leur accès aux messages SMS pour intercepter tous les codes 2FA entrants et les rediriger vers le serveur de commande et de contrôle.
La société israélienne de cybersécurité a déclaré avoir également identifié une application de rencontres qui redirigeait les utilisateurs de langue chinoise vers des pages de destination malveillantes conçues pour capturer les informations de carte de crédit.
Apprenez à arrêter les ransomwares avec une protection en temps réel
Rejoignez notre webinaire et découvrez comment arrêter les attaques de ransomwares dans leur élan grâce à la MFA en temps réel et à la protection des comptes de service.
Fait intéressant, la fonctionnalité malveillante est implémentée avec Battementun kit de développement logiciel d’interface utilisateur open source qui peut être utilisé pour développer des applications multiplateformes à partir d’une seule base de code.
Alors que les acteurs de la menace sont connus pour utiliser une variété d’astuces comme les techniques d’évasion, l’obscurcissement et les longs délais avant l’exécution pour résister à l’analyse et contourner les environnements virtuels, l’utilisation de Flutter marque un nouveau niveau de sophistication.
« Les développeurs de logiciels malveillants n’ont pas déployé beaucoup d’efforts dans la programmation, s’appuyant plutôt sur Flutter comme plate-forme de développement », ont conclu les chercheurs.
« Cette approche leur a permis de créer des applications malveillantes dangereuses et pour la plupart non détectées. L’un des avantages de l’utilisation de Flutter est que sa nature difficile à analyser rend de nombreuses solutions de sécurité contemporaines sans valeur. »
