អ្នកស្រាវជ្រាវសន្តិសុខសាយប័រចែករំលែកព័ត៌មានពាក់ព័ន្ធនឹងគ្រួសារមេរោគ Android malware មានឈ្មោះថា Fluhorse។ អ្នកស្រាវជ្រាវនៅ Fortinet FortiGuard Labs ថ្លែងនៅក្នុងរបាយការណ៍កាលពីសប្តាហ៍មុនថា មេរោគបង្ហាញពីការផ្លាស់ប្តូរដ៏សំខាន់ តាមរយៈការរួមបញ្ចូលសមាសធាតុអាក្រក់នៅក្នុង Flutter code ដោយផ្ទាល់។
មេរោគ Fluhorse ត្រូវកត់ត្រាលើកដំបូងដោយក្រុមហ៊ុន Check Point កាលពីខែឧសភា ឆ្នាំ២០២៣ ដែលបង្ហាញថា វាវាយប្រហារទៅលើអ្នកប្រើនៅអាសុីខាងកើត តាមរយៈកម្មវិធីបញ្ឆោតដែលបន្លំជា ETC និង VPBank Neo ដ៏ពេញនិយមនៅប្រទេសតៃវ៉ាន់ និងវៀតណាម។ វុិចទ័រនៃការវាយប្រហាររបស់មេរោគគឺចាប់ផ្តើមដោយការផ្ញើសារ phishing។ គោលដៅចុងក្រោយនៃកម្មវិធីគឺដើម្បីលួចអត្តសញ្ញាណ ព័ត៌មានកាតក្រេឌីត និងកូដផ្ទៀងផ្ទាត់ 2FA និងផ្ញើសារទៅកាន់ remote server ដែលស្ថិតក្រោមការគ្រប់គ្រងរបស់ហេគឃ័រ។
លទ្ធផលចុងក្រោយពី Fortinet ថាមេរោគ Fluhorse sample អាប់ឡូតទៅកាន់ VirusTotal កាលពីពាក់កណ្តាលខែមិថុនា ឆ្នាំ២០២៣ ហើយបន្ថែមថាមេរោគវិវត្ត ដោយបន្ថែមនូវទំនើបកម្មដោយការលាក់ payload ដែលអុីនគ្រីបនៅក្នុង packer។ អ្នកស្រាវជ្រាវថ្លែងថា ការឌីគ្រីបត្រូវធ្វើឡើងនៅ native level (ដើម្បីពង្រឹង reverse engineering) ដែលប្រើ OpenSSL’s EVP cryptographic API។ ក្បួនដោះស្រាយការអុីនគ្រីបគឺ AES-128-CBC និងការប្រើ hard-coded string ដូចគ្នាសម្រាប់ key and initialization vector (IV)។ Payload ដែលត្រូវឌីគ្រីបគឺ ZIP file មានផ្ទុក Dalvik executable file (.dex) ដែលត្រូវដំឡើងនៅលើឧបករណ៍ដើម្បីស្តាប់សារដែលផ្ញើចូលនិងច្រោះយកសារផ្ញើចេញទៅម៉ាសុីនមេ (remote server)។ កម្មវិធី Reversing Flutter គឺជារបកគំហើញមួយរបស់អ្នកស្រាវជ្រាវសម្រាប់ប្រឆាំងនឹងមេរោគ (anti-virus) ជាអកុសល អ្នកស្រាវជ្រាវមើលឃើញថា កម្មវិធី Futter អាក្រក់នឹងកើនឡើងកាន់តែច្រើននាពេលខាងមុខ៕
