Check Point Software Technologiesは5月4日(米国時間)、「Eastern Asian Android Assault - FluHorse - Check Point Research」において、「FluHorse」と呼ばれる新種のAndroidマルウェアを発見したことを伝えた。FluHorseが埋め込まれたAndroidアプリが複数確認されており、そのほとんどが100万回以上インストールされていることが明らかとなった。

Eastern Asian Android Assault - FluHorse - Check Point Research

FluHorseは、認証情報および二要素認証(2FA: Two-Factor Authentication)の窃取を目的としたAndroidマルウェア。東アジア市場の多くの分野をターゲットとしており、電子メールを通じて配布されている。台湾やベトナムで使用されている知名度の高い正規アプリが模倣されており、フィッシングメールキャンペーンは少なくとも2022年5月ごろから活動していることが判明している。

FluHorseが含まれたアプリがAndroidデバイスにインストールされると、ショートメッセージサービス(SMS: Short Message Service)へのアクセスが求められ、被害者の認証情報やクレジットカード情報を入力するよう要求してくる。ユーザーが認証情報を入力するとリモートサーバに情報が送られてしまう。SMSに着信するすべての二要素認証コードも窃取され、コマンド&コントロール(C2: Command and Control)サーバに流出することが確認されている。

How the malware performs phishing attacks.

FluHorseの実装にGoogleが開発しているオープンソースのUIソフトウェア開発キットであるFlutterが使われていることが、興味深い点として挙げられている。GUIプログラミングにあまり注力しないようにするためにFlutterが利用されたと判断しており、Flutterを利用することで分析を困難にし、多くのセキュリティソリューションを無力化することに成功していると結論づけられている。