Cybertrheat.id - Berbagai sektor di pasar Asia Timur telah mengalami kampanye phishing email baru yang mendistribusikan jenis malware Android yang sebelumnya tidak terdokumentasi yang disebut FluHorse. Malware ini menyalahgunakan kerangka kerja pengembangan perangkat lunak Flutter.

"Malware menampilkan beberapa aplikasi Android jahat yang meniru aplikasi resmi, yang sebagian besar memiliki lebih dari 1.000.000 pemasangan," kata Check Point dalam laporan teknis sebagaimana dipubliskan oleh The Hacker News. "Aplikasi jahat ini mencuri kredensial korban dan kode autentikasi dua faktor (2FA)."

Disebutkan, aplikasi jahat telah ditemukan meniru aplikasi populer seperti ETC dan VPBank Neo, yang banyak digunakan di Taiwan dan Vietnam. Bukti yang dikumpulkan sejauh ini menunjukkan bahwa aktivitas tersebut telah aktif setidaknya sejak Mei 2022.

Skema phishing itu sendiri cukup mudah, di mana para korban dibujuk dengan email yang berisi tautan ke situs web palsu yang menghosting file APK berbahaya. Juga ditambahkan ke situs web adalah pemeriksaan yang bertujuan untuk menyaring korban dan mengirimkan aplikasi hanya jika string User-Agent browser mereka cocok dengan Android.

Setelah terinstal, malware meminta izin SMS dan meminta pengguna untuk memasukkan kredensial dan informasi kartu kredit mereka, yang semuanya kemudian dieksfiltrasi ke server jarak jauh di latar belakang sementara korban diminta menunggu beberapa menit.

Pelaku ancaman juga menyalahgunakan akses mereka ke pesan SMS untuk mencegat semua kode 2FA yang masuk dan mengalihkannya ke server perintah-dan-kontrol.

Perusahaan cybersecurity Israel mengatakan lebih lanjut mengidentifikasi aplikasi kencan yang mengarahkan pengguna berbahasa Mandarin ke halaman arahan nakal yang dirancang untuk menangkap informasi kartu kredit.

Beberapa organisasi terkenal dikatakan termasuk di antara penerima email phishing ini, termasuk pegawai sektor pemerintah dan perusahaan industri besar, dengan infrastruktur baru dan aplikasi penipuan muncul setiap bulan.

Menariknya, fungsionalitas berbahaya diimplementasikan dengan Flutter, perangkat pengembangan perangkat lunak UI open source yang dapat digunakan untuk mengembangkan aplikasi lintas platform dari satu basis kode.

Meskipun pelaku ancaman diketahui menggunakan berbagai trik seperti teknik penghindaran, penyamaran, dan penundaan yang lama sebelum eksekusi untuk menolak analisis dan menyiasati lingkungan virtual, penggunaan Flutter menandai tingkat kecanggihan baru.

"Para pengembang malware tidak berusaha keras dalam pemrograman, melainkan mengandalkan Flutter sebagai platform pengembangan," para peneliti menyimpulkan.

"Pendekatan ini memungkinkan mereka membuat aplikasi jahat yang berbahaya dan sebagian besar tidak terdeteksi. Salah satu keuntungan menggunakan Flutter adalah sifatnya yang sulit dianalisis membuat banyak solusi keamanan kontemporer menjadi tidak berguna."[]