Check Point Research (via BleepingComputer) De malware wordt via e-mail verspreid en steelt creditcardgegevens, wachtwoorden en zelfs tweefactorauthenticatiecodes (2FA). De aanvallen worden sinds 2022 gesignaleerd in Oost-Azië en beginnen meestal met een e-mail die naar een potentieel slachtoffer wordt gestuurd waarin wordt geëist dat er onmiddellijk wordt betaald om een probleem met een account op te lossen. De e-mail bevat een link die het slachtoffer naar nepversies van legitieme apps. Deze nep-apps omvatten ETC, een app voor tolheffing in Taiwan, en de Vietnamese bank-app VPBank Neo, een bank-app in Vietnam. De echte versies van elke app hebben elk meer dan 1 miljoen installaties in de Google Play Store. Check Point ontdekte ook dat er ook een nepversie van een echte transport-app met 100.000 installaties wordt gebruikt, maar deze app kreeg geen naam.
Apps nagebootst door de FluHorse-malware. Image credit Check Point Research
Om verzonden 2FA-codes te kapen, vragen de drie apps toegang via sms. Met 2FA kan een gebruiker een app of website openen door een wachtwoord in te typen en een speciale code die per sms naar de telefoon van de gebruiker wordt gestuurd. De nep-apps kopiëren de gebruikersinterface van de echte apps, maar doen niet veel anders dan het verzamelen van gebruikersgegevens, waaronder creditcardgegevens. Vervolgens, om het te laten lijken alsof er een echte verwerking gaande is, zegt het scherm gedurende 10 minuten”systeem is bezet”. Wat er werkelijk gebeurt, is dat 2FA-codes samen met persoonlijke informatie worden gestolen.
Hoe FluHorse werkt
Volgens Check Point is dit een actieve en voortdurende bedreiging voor Android-gebruikers en het is het is altijd het beste om geen persoonlijke informatie zoals creditcardnummers en burgerservicenummers online weg te geven. En alleen omdat deze georganiseerde aanval in een ander deel van de wereld is opgemerkt, betekent dit niet dat je laks moet zijn als het gaat om het beschermen van je persoonlijke gegevens.