FluHorse: nueva amenaza de Android que roba contraseñas y códigos 2FA

FluHorse se creó para robar información personal, como nombres de usuario, contraseñas y códigos 2FA. La distribución del malware se realiza a través del correo electrónico.

Según un informe reciente de Check Point Research, se ha descubierto un nuevo tipo de malware, llamado FluHorse. Este comprende un grupo de aplicaciones de Android que se hacen pasar por aplicaciones genuinas. Sorprendentemente, las aplicaciones falsas ya han sido descargadas por más de un millón de usuarios.

Los atacantes colocan su anzuelo a través de aplicaciones imitadas de empresas establecidas y confiables, ya que es probable que estas aplicaciones atraigan a clientes financieramente capaces.

Dos de estas aplicaciones, ETC y Neo, ambas con más de un millón de instalaciones de Google Play, se encontraron infectadas con el malware FluHorse. El sitio web del desarrollador de ETC APK afirma que la aplicación genera la asombrosa cantidad de 16 millones de transacciones por día y es utilizada por más de seis millones de personas.
Los expertos también han notado la presencia de otras aplicaciones de citas maliciosas, aunque todavía tienen que identificar las aplicaciones correspondientes que el malware intenta suplantar.

Phishing y evasión de 2FA

Una vez que la víctima ingresa su información de inicio de sesión, se transmite al servidor C2 bajo el control de los atacantes.
Luego, el malware le indica a la víctima que espere mientras se procesa la información. En tanto,
comienza a interceptar todos los mensajes de texto entrantes, incluidos los códigos de autenticación enviados para 2FA.
Si los atacantes obtuvieron las credenciales de inicio de sesión o los detalles de la tarjeta de crédito de la víctima, pueden utilizar esta información para eludir la 2FA y obtener acceso no autorizado a las cuentas de la víctima.