Пользователей из России предупредили о новом вредоносе для Android, направленном на кражу данных банковских карт и кодов двухфакторной аутентификации. Специалисты по безопасности из компании Fortinet (команда FortiGuard Labs) сообщили о выявлении нового вредоносного программного обеспечения для Android, основанного на Fluhorse.
В компании Fortinet подчеркнули, что новое семейство вредоносных программ для Android, названное Fluhorse, было впервые задокументировано компанией по кибербезопасности Check Point в мае 2023 года. Тогда эксперты подробно описывали кибератаки на пользователей, которые проводились против целей в Юго-Восточной Азии. Злоумышленники использовали мошеннические мобильные приложения, которые маскировались под различные криптовалютные программы, популярные во Вьетнаме и Тайване. Вектором проникновения этого вредоносного ПО стал фишинг.
В Fortinet указали на то, что целью вредоноса Fluhorse является кража учетных данных пользователей, платежной информации и кодов двухфакторной аутентификации, которые пользователи получают в SMS-сообщениях. После сбора необходимых данных вредонос передает всю информацию на удаленный сервер, контролируемый хакерами.
Новые данные, полученные компанией по кибербезопасности Fortinet, которая смогла реконструировать образец Fluhorse, загруженный на Virus Total 11 июня 2023 года, позволяют сделать вывод о том, что вредонос эволюционировал и теперь имеет новый, расширенный функционал.
«Расшифровка выполняется на нативном уровне (чтобы усилить реверс-инжиниринг) с использованием криптографического API OpenSSL EVP. Алгоритм шифрования — AES-128-CBC, и его реализация использует одну и ту же жестко запрограммированную строку для ключа и вектора инициализации (IV)», — отметил эксперт по кибербезопасности Fortinet FortiGuard Labs Аксель Апврилле.
В компании Fortinet также подчеркнули, что вредонос теперь включает в себя исполняемый файл Dalvik (.dex), который после установки на пользовательское устройство используется для мониторинга входящих SMS-сообщений и отправки их содержимого на сервер киберпреступников.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
