Новый Android-троян Fluhorse ворует СМС для перехвата 2FA-кодов
Главная » Новости

Новый Android-троян Fluhorse ворует СМС для перехвата 2FA-кодов

Татьяна Никитина 23 Июня 2023 - 14:21
...
Новый Android-троян Fluhorse ворует СМС для перехвата 2FA-кодов

По словам Fortinet, объявившийся в мае Android-зловред создан с помощью SDK Flutter, что сильно затрудняет анализ. Новейший образец Fluhorse, изученный экспертами, использует также упаковщик для сокрытия вредоносной полезной нагрузки.

Набор инструментов Flutter с открытым исходным кодом позволяет на основе одних и тех же исходников выстраивать приложения, совместимые с Android, iOS, Linux, Windows. Реверс-инжиниринг таких программ затруднителен, и аналитики обычно воспринимают их как черный ящик.

Вирусописатели ценят эти свойства Flutter, но обычно используют его для создания элементов кросс-платформенного UI, поэтому сам зловред легко поддается анализу. Троян Fluhorse, как оказалось, — редкое исключение: его вредоносные компоненты встроены непосредственно в Flutter-код.

Майские семплы Fluhorse, по данным Fortinet, не использовали обфускацию либо сжатие. В этом месяце исследователям попался запакованный исполняемый файл. Зловред маскировался под легитимное приложение для контроля расходов на платных дорогах, популярное в Юго-Восточной Азии.

После запуска вредонос пытается выманить у жертвы и украсть учетные данные, а также ворует одноразовые коды 2FA: отслеживает входящие СМС-сообщения и пересылает их на свой сервер. Для распространения трояна обычно используются имейл-рассылки; на его счету уже более 100 тыс. загрузок.

Текущая версия Fluhorse (уровень детектирования 24/65 на момент анализа) была впервые загружена на VirusTotal 11 июня. Она отдается в виде APK-файла с сайта hxxps://fasd1[.]oss-ap-southeast-1.aliyuncs.com; обращения к нему из Азии, по данным телеметрии, наблюдаются с 12 июня.

Полезная нагрузка зашифрована (AES-128-CBC), архивирована, и итог обработан упаковщиком.

 

После установки в систему пейлоад загружает Flutter-приложение, которое при запуске запрашивает разрешения для мониторинга входящих СМС. Прослушка осуществляется в фоновом режиме, с этой целью зловреду придан Dart Telephony — легитимный Flutter-плагин с открытым исходным кодом.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Роскомнадзор сообщил о блокировке звонков в Telegram и WhatsApp
Яков Шпунт 13 Августа 2025 - 16:45
Соответствие законодательству РФ Домашние пользователиГосударство Системы контентной веб-фильтрацииСоответствие требованиям регуляторов
Роскомнадзор сообщил о блокировке звонков в Telegram и WhatsApp

Роскомнадзор объявил о блокировке голосовых вызовов в мессенджерах Telegram и WhatsApp (принадлежит признанной в России экстремистской и запрещённой в стране корпорации Meta). Мера объясняется необходимостью противодействия преступности.

В официальном сообщении регулятора, распространённом по новостным лентам, говорится, что зарубежные мессенджеры стали одним из основных каналов связи, которые используют мошенники. Кроме того, Telegram и WhatsApp, по данным ведомства, активно применяются для вовлечения российских граждан в диверсионно-террористическую деятельность.

«Информируем, что для противодействия преступникам в соответствии с материалами правоохранительных органов принимаются меры по частичному ограничению звонков в данных иностранных мессенджерах. Никаких иных ограничений их функционала не вводится», — отмечается в сообщении Роскомнадзора.

Доступ ко всем функциям, как уточнили в ведомстве, будет восстановлен после выполнения всех требований законодательства.

Как сообщал «Коммерсантъ», выборочная блокировка голосовых вызовов в мессенджерах началась ещё 1 августа. Об этом изданию рассказал источник в телеком-отрасли.

В тот же день председатель комитета Госдумы по развитию гражданского общества, вопросам общественных и религиозных объединений Яна Лантратова направила министру цифрового развития, связи и массовых коммуникаций Максуту Шадаеву запрос с просьбой разъяснить ситуацию в связи с возможной блокировкой звонков через мессенджеры.

Текст письма, оказавшийся в распоряжении ТАСС, содержит просьбу подтвердить или опровергнуть введение ограничений на голосовые и видеозвонки в иностранных сервисах, а также дать официальные комментарии по поводу их работы на территории России.

Первый заместитель председателя комитета Госдумы по информационной политике Антон Ткачёв в комментарии РИА Новости назвал возможную блокировку голосовых вызовов в мессенджерах бесполезной: «Если заблокируют звонки на зарубежных площадках, люди будут так же общаться с помощью российских аналогов или через VPN. Эта мера лишь усложнит жизнь пользователям и вызовет недовольство».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Полиция Югры задержала челябинца, который оформлял подставные кредиты
Новость
Полиция Югры задержала челябинца, который оформлял подставны...
Российские ученые предложили метод защиты голосовых данных
Новость
Российские ученые предложили метод защиты голосовых данных
Новость о мегаутечке привела к активизации злоумышленников
Новость
Новость о мегаутечке привела к активизации злоумышленников

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.