Вредоносная программа FluHorse крадет коды двухфакторной аутентификации с телефонов Android.

По данным PhoneArena , вредоносная программа FluHorse распространяется по электронной почте и крадет данные кредитных карт, пароли и даже коды двухфакторной аутентификации (2FA). Атаки в Восточной Азии происходят с 2022 года, часто начиная с электронного письма, отправленного потенциальным жертвам с просьбой немедленно произвести оплату для решения проблемы с учетной записью.

В электронном письме содержалась ссылка, которая вела жертв к поддельным версиям легитимных приложений. Среди этих поддельных приложений были ETC — приложение для сбора платы за проезд в Тайване — и VPBank Neo — банковское приложение во Вьетнаме. Официальные версии каждого приложения были загружены более 1 миллиона раз из Google Play Store. Компания Check Point также обнаружила поддельную версию настоящего транспортного приложения со 100 000 загрузок, но компания не упомянула его конкретное название.

Чтобы перехватить любой отправленный код двухфакторной аутентификации, три приложения запросят доступ по SMS. Поддельные приложения имитируют пользовательский интерфейс официальных приложений, но делают лишь то, что собирают информацию о пользователе, включая данные кредитной карты. Затем, чтобы создать видимость реальной обработки, на экране в течение 10 минут отображается сообщение «система занята». Но на самом деле код двухфакторной аутентификации похищается вместе с личной информацией.

Компания Check Point заявляет, что FluHorse представляет собой постоянную угрозу для пользователей Android, поэтому лучше не предоставлять личную информацию, такую ​​как номера кредитных карт и номера социального страхования, в интернете. Поскольку эта организованная атака была обнаружена в нескольких регионах мира , людям необходимо проявлять бдительность в защите своих личных данных.