基于Flutter的安卓恶意软件，瞄准东亚市场

【FreeBuf福利群招新啦！

群内不定期开启各种抽奖活动；

FreeBuf盲盒、大象公仔......

在这里，拓宽网安边界

甲方安全建设干货；

乙方最新技术理念；

全球最新的网络安全资讯；

如群已满，请添加FreeBuf小助手微信（freebee2022）】

网络安全研究人员分享了一个名为Fluhorse的Android恶意软件的内部运作情况。

Fortinet FortiGuard实验室研究员Axelle Apvrille在上周发表的一份报告中说，这种恶意软件的出现代表了一种重大转变，因为它直接将恶意组件纳入Flutter代码中。

Check Point在2023年5月初首次记录了Fluhorse，详细说明了它通过伪装成ETC和VPBank Neo的流氓应用程序对位于东亚的用户进行攻击，尤其是在越南。

该恶意软件最初是通过网络钓鱼的方式来入侵，最终目标是窃取凭证、信用卡信息和以短信形式收到的双因素认证（2FA）信息，并将其发送到威胁者控制的远程服务器。

Fortinet对2023年6月11日上传到VirusTotal的Fluhorse样本进行了逆向工程，其最新发现表明，该恶意软件已经进化，通过将加密的有效载荷隐藏在一个打包器中，融入了更多的复杂性。

Apvrille解释说：解密是使用OpenSSL的EVP加密API在原生水平上进行的（以加强逆向工程）。加密算法是AES-128-CBC，其实现使用相同的硬编码字符串作为密钥和初始化向量（IV）。

解密后的有效载荷是一个ZIP文件，其中包含一个Dalvik可执行文件（.dex），然后将其安装在设备上，以监听传入的短信并将其外流到远程服务器上。

Apvrille说：静态逆转Flutter应用程序是反病毒研究人员的一个突破，但是不幸的是，预计未来会有更多的恶意Flutter应用程序发布。

原文始发于微信公众号（FreeBuf）：基于Flutter的安卓恶意软件，瞄准东亚市场