Το FjordPhantom Mobile Malware κρύβεται πίσω από την εικονικοποίηση
Ερευνητές ασφαλείας αποκάλυψαν την ύπαρξη ενός πρόσφατα εντοπισμένου και εξαιρετικά εξελιγμένου κακόβουλου λογισμικού Android, γνωστό ως FjordPhantom, το οποίο στοχεύει ενεργά άτομα σε χώρες της Νοτιοανατολικής Ασίας όπως η Ινδονησία, η Ταϊλάνδη και το Βιετνάμ από τις αρχές Σεπτεμβρίου 2023.
Σύμφωνα με μια ανάλυση που δημοσιεύτηκε από την Promon, μια εταιρεία ασφάλειας εφαρμογών για κινητά με έδρα τη Σουηδία, το κακόβουλο λογισμικό εξαπλώνεται κυρίως μέσω υπηρεσιών ανταλλαγής μηνυμάτων, χρησιμοποιώντας έναν συνδυασμό κακόβουλου λογισμικού που βασίζεται σε εφαρμογές και τεχνικών κοινωνικής μηχανικής για να εξαπατήσει τους χρήστες να κατεβάσουν δόλιες τραπεζικές εφαρμογές. Οι φορείς επίθεσης περιλαμβάνουν εφαρμογές ηλεκτρονικού ταχυδρομείου, SMS και μηνυμάτων, με τα θύματα να παρασύρονται να κατεβάσουν κάτι που φαίνεται να είναι μια νόμιμη τραπεζική εφαρμογή, αλλά στην πραγματικότητα περιλαμβάνει κακόβουλα στοιχεία.
Το FjordPhantom αποφεύγει την ανίχνευση μέσω εικονικοποίησης
Το χαρακτηριστικό γνώρισμα του κακόβουλου λογισμικού, που το ξεχωρίζει από άλλα τραπεζικά trojans, είναι η χρήση της εικονικοποίησης για την εκτέλεση κακόβουλου κώδικα μέσα σε ένα κοντέινερ, επιτρέποντάς του να αποφύγει τον εντοπισμό. Αυτή η μέθοδος παρακάμπτει τις προστασίες sandbox του Android επιτρέποντας την εκτέλεση πολλών εφαρμογών στο ίδιο sandbox, διευκολύνοντας την πρόσβαση σε ευαίσθητα δεδομένα χωρίς να απαιτείται πρόσβαση root.
Ο Promon εξηγεί ότι η τεχνική εικονικοποίησης που χρησιμοποιείται από το FjordPhantom μπορεί να εισάγει κώδικα σε μια εφαρμογή φορτώνοντας τον δικό της κώδικα σε μια νέα διαδικασία πριν φορτώσει τον κώδικα της φιλοξενούμενης εφαρμογής. Στην περίπτωση του FjordPhantom, η εφαρμογή υποδοχής πραγματοποιεί λήψη μιας κακόβουλης μονάδας μαζί με το στοιχείο εικονικοποίησης, το οποίο στη συνέχεια χρησιμοποιείται για την εγκατάσταση και την εκκίνηση της ενσωματωμένης εφαρμογής της στοχευμένης τράπεζας σε ένα εικονικό κοντέινερ.
Για περαιτέρω εξήγηση, η δόλια εφαρμογή έχει σχεδιαστεί για να φορτώνει τη νόμιμη τραπεζική εφαρμογή σε ένα εικονικό κοντέινερ ενώ χρησιμοποιεί ένα πλαίσιο αγκίστρωσης για να τροποποιήσει τη συμπεριφορά των βασικών API. Αυτό επιτρέπει στο κακόβουλο λογισμικό να συλλαμβάνει μέσω προγραμματισμού ευαίσθητες πληροφορίες από την οθόνη της εφαρμογής και να κλείνει τα παράθυρα διαλόγου που προειδοποιούν για κακόβουλη δραστηριότητα στη συσκευή του χρήστη.
Πώς μπορείτε να διατηρήσετε τη συσκευή σας Android ασφαλή;
Η ασφάλεια της συσκευής σας Android είναι ζωτικής σημασίας για την προστασία των προσωπικών σας πληροφοριών, των ευαίσθητων δεδομένων και της συνολικής ψηφιακής ευημερίας σας. Ακολουθούν ορισμένες βασικές συμβουλές για να διατηρήσετε τη συσκευή σας Android ασφαλή:
Διατήρηση ενημερωμένου λογισμικού:
Ενημερώνετε τακτικά το λειτουργικό σύστημα και τις εφαρμογές της συσκευής σας για να επιδιορθώνετε ευπάθειες ασφαλείας και να επωφεληθείτε από τις πιο πρόσφατες δυνατότητες ασφαλείας.
Λήψη εφαρμογών από αξιόπιστες πηγές:
Χρησιμοποιήστε επίσημα καταστήματα εφαρμογών όπως το Google Play για λήψη εφαρμογών. Αποφύγετε καταστήματα εφαρμογών τρίτων, καθώς ενδέχεται να φιλοξενούν κακόβουλες εφαρμογές.
Δικαιώματα εφαρμογών:
Ελέγξτε τα δικαιώματα εφαρμογής πριν από την εγκατάσταση. Να είστε προσεκτικοί εάν μια εφαρμογή ζητά περιττές άδειες που φαίνονται άσχετες με τη λειτουργικότητά της.
