Во время обычного анализа приложений команда Zimperium zLabs недавно обнаружила и проанализировала приложение Flutter с вредоносным кодом. Этот код, являющийся частью более крупной кампании по выдаче хищнических кредитов, ранее обнаруженной K7 Security Labs, использует преимущества фреймворка Flutter для маскировки вредоносных функций и затрудняет обнаружение вредоносной активности с помощью статического анализа. Из-за особенностей Flutter вредоносный код и активность теперь скрываются за фреймворком, не поддающимся статическому анализу устаревших продуктов безопасности мобильных устройств.
MoneyMonger
Flutter - набор программных средств пользовательского интерфейса (UI) с открытым исходным кодом для кросс-платформенных мобильных приложений, помог вывести на рынок новые мобильные приложения. Этот современный фреймворк для мобильных приложений устраняет многие препятствия для создания многоплатформенных приложений, и разработчики могут создавать "родные" мобильные приложения, используя только одну кодовую базу. Хотя Flutter изменил жизнь разработчиков приложений, злоумышленники также воспользовались его возможностями и фреймворком, развернув приложения с критическими рисками безопасности и конфиденциальности для ничего не подозревающих жертв.
Обфусцированная вредоносная программа Flutter, которую назвали MoneyMonger, не была обнаружена в официальных магазинах Android. Эта новая вредоносная кампания распространяется исключительно через сторонние магазины приложений и загружается на Android-устройство жертвы. Новый вариант этой хищнической кредитной кампании активен с мая 2022 года. Чаще всего подобные кампании используют преимущества социальной инженерии через фишинговые сообщения, взломанные веб-сайты, мошеннические сети WiFi и социальные сети для распространения ссылок на загрузку.
Вредоносная программа MoneyMonger использует несколько уровней социальной инженерии, чтобы воспользоваться преимуществами своих жертв, начиная с хищнической схемы кредитования, обещая быстрые деньги тем, кто выполнит несколько простых инструкций. В процессе установки приложения жертве сообщают, что на мобильной конечной точке необходимо получить разрешения, чтобы убедиться, что она находится в хорошем состоянии для получения займа. Это дает жертве уверенность в том, что она включит на устройствах очень откровенные локальные разрешения, что позволит злоумышленникам украсть частную информацию с конечной точки.
Наконец, если жертва не платит вовремя, а в некоторых случаях даже после погашения кредита, злоумышленники, стоящие за кампанией, угрожают раскрыть информацию, звонят людям из списка контактов и даже отправляют фотографии, украденные с устройства. Этот уровень социальной инженерии оказывает на жертв повышенное давление, вынуждая их подчиниться, и зачастую они платят больше, чем было оговорено изначально, чтобы все прекратилось.
Использование Flutter в мире разработчиков изменило лицо разработки мобильных приложений, и неудивительно, что злоумышленники пошли по их стопам, быстро разрабатывая и внедряя новые варианты вредоносного ПО, как это было с MoneyMonger.
MoneyMonger собирает важные и личные данные ничего не подозревающих жертв, загружая украденную информацию на свой сервер, включая установленные приложения, местоположение GPS, SMS, контактные данные, информацию об устройстве, метаданные изображений и многое другое. Эта украденная информация затем используется злоумышленниками для шантажа и угроз, чтобы заставить жертв выплатить чрезмерно высокие проценты.
В связи с характером кражи данных и шантажа в этой кампании хищнического кредитования, эта вредоносная программа представляет опасность для предприятий так же, как и для частных лиц. Вредоносное приложение собирает широкий спектр данных с устройства жертвы, и в эту кражу попадают любые материалы, связанные с предприятием, включая потенциально конфиденциальную и служебную информацию. Любое устройство, подключенное к корпоративным данным, независимо от того, принадлежит ли оно компании или является частью политики BYOD, представляет риск для предприятия, если пользователь использует это устройство для мошенничества с хищническими кредитами MoneyMonger.
Вредоносные субъекты, стоящие за MoneyMonger, постоянно развивают и обновляют приложение, чтобы избежать обнаружения, добавляя XOR-шифрование в строку на стороне Java, а также добавляя больше информации на стороне Flutter-dart.
Зараженное приложение MoneyMonger запрашивает доступ к следующим разрешениям для сбора и утечки разнообразных данных и выполнения широкого спектра вредоносных действий:
- Доступ к камере
- Список контактов
- Данные о местоположении GPS
- Запись звука
- Журналы вызовов
- Списки SMS
- Списки хранилищ и файлов
Подобно другим обнаруженным нами мобильным вредоносным программам и шпионским программам, вредоносная программа MoneyMonger запрашивает разрешения у жертвы для осуществления сбора важной и конфиденциальной информации. После получения доступа вредоносное приложение способно собирать и отправлять приватные данные на частный сервер для последующего использования в шантаже.
Эти вредоносные приложения построены на фреймворке Flutter, поэтому часть кода существует внутри кода Flutter, что обфусцирует его от традиционного обнаружения вредоносного ПО Android. Когда приложение запускается, оно собирает зашифрованную конфигурацию в libapp.so, расшифровывает ее с помощью алгоритма AES, а затем расшифровывает "конфиг" о приложении во время выполнения.
Хотя общее число жертв этого варианта вредоносной программы MoneyMonger и шантажной аферы неизвестно из-за использования сторонних магазинов и боковой загрузки для распространения, многие из неавторизованных магазинов приложений сообщают о более чем 100 000 загрузок вредоносного приложения. Судя по количеству загрузок ранее активных вариантов, можно с уверенностью предположить, что злоумышленники, стоящие за этой кампанией, успешно занимаются социальной инженерией, заставляя жертв поддаваться на хищнические кредитные аферы.
Приложение использует гео-специфический таргетинг для своих хищнических кредитных схем. Данный конкретный вариант Flutter-obfuscated MoneyMonger нацелен на жителей Индии, также были обнаружены другие варианты этого приложения, нацеленные на жителей Перу. Однако пользователи, установившие это приложение, пострадают от утечки частной информации еще до того, как запросят кредит.
Кампания по распространению вредоносного ПО MoneyMonger свидетельствует о растущей тенденции злоумышленников использовать шантаж и угрозы для выманивания денег у жертв. Подобно тому, что наблюдается в случае с ransomware, такие кампании становятся все более распространенными благодаря их успеху в том, что жертвы чувствуют себя беспомощными в сложившейся ситуации. Программы быстрых займов часто полны хищнических моделей, таких как высокие процентные ставки и схемы погашения, но добавление шантажа в уравнение повышает уровень злонамеренности. И в связи с финансовой неопределенностью, которую испытывают многие люди во всем мире, неудивительно, что популярность этого типа вредоносных программ растет.
Indicators of Compromise
URLs
- https://app.cash-bazar.com
- https://app.cashmarket.space
- https://app.coin-cash.xyz
- https://app.credit-king.xyz
- https://app.duttarupee.com
- https://app.flashrupee.com
- https://app.flashrupee.space
- https://app.go-cash.net
- https://app.goldcash.vip
- https://app.hellorupe.com
- https://app.holdloan.xyz
- https://app.instantcredit.space
- https://app.loan-guide.xyz
- https://app.loanresources.space
- https://app.magicloan.space
- https://app.masprestamos.xyz
- https://app.moneysnap.space
- https://app.moneytreess.space
- https://app.rainbowcash.space
- https://app.safetyloan.xyz
- https://app.smallcredit.xyz
- https://app.smart-cash.xyz
- https://app.swipecredit.space
SHA1
- 07eb4126c4b18476ff2033c021569b3761c0d477
- 1d351597d69f878c028f0dd5300823c6feb3ba40
- 1e8a2c8d649d0640eae53895d7297e1fbc737f5f
- 1f0b55438f5f4377586fb1b2ef64abcd2b896d0c
- 326192ad67422da2f9d496bf15da0f5992db9d6f
- 349a91b528fa5ed77a31d8663a41d2f3bc2915f0
- 38a921ac895e1d1d00030778e5c8609658deb037
- 3fd47e7e068aa6ca519ae07bd48ca8edbdeb7479
- 4f430eabdf27b750a23054fe25a9d27be1e74dd1
- 502a802b6ff3f054f58b116330ee8a3504ad73af
- 53928ede30034f3528288318cb953d745d2e8ebb
- 55ea2ff327015dcadfb54b3c3b000ae51f175f10
- 5cfc5a2375b0b77935612a9591aaadc9b7cf8267
- 6f78c8401f2d902556f5894ed57f43ad0c960c38
- 74a961fc6c0e8e2b4b99a52968a5b3e43d4ff3af
- 7dda134218ed4146844e09504bc249b107ad64d4
- 8d50dbec837c1317ee5f171f835e67ff81f7a6e6
- 8db66f5794ce37cc1f3f341a2e3455c2dbdf1c80
- 90aa04cf96df0a487008f374d9c60827ef34fed0
- 92911fd36f0a2e5e50dcc6d7a0e418cd28c7faa2
- 9b6fb2078d1bbea53a3194fc014b8f9356f90aea
- 9ca5af1f9f594b4e19a77ace057441bc4cb010a5
- b23ba35f30955fa811471a5aa7db35e60c7afb83
- c14ce04526ea81f33f83ed0549d67e28372cd64b
- c1ecb0b5aed51b96e6ffc7ba5e2f3adce5abd92f
- c4eee81efd3949b6a567457e4e60eb5ea103d488
- d58eeed6cbf924c164f4977fb0183995d141226d
- d9e5acfd4131b069775ed906974d64e52c7b7ed0
- dfe405c12e34ad923cd1b37cacacaf4e2aa03724
- e19cc4344e30669c25d07fc208b8d153376433b8
- ee3f9974bfec0d99cb40faa05c32ce88ca9f9eb4
- f266f7e0b813ebbee5e062578a4b59045fa54e2e
- f38243081ff4654f064cb1d27e8b23299954c90b
- f4f057f71c8aff5fe62659b325d57da4e6f9a6eb