A FjordPhantom mobil rosszindulatú programja a virtualizáció mögött rejtőzik

Biztonsági kutatók felfedték a FjordPhantom néven nemrégiben azonosított és rendkívül kifinomult Android-malware létezését, amely 2023 szeptembere óta aktívan megcélozza a délkelet-ázsiai országokban, például Indonéziában, Thaiföldön és Vietnamban élő személyeket.

A Promon, a svédországi székhelyű mobilalkalmazás-biztonsági cég által közzétett elemzés szerint a kártevő elsősorban üzenetküldő szolgáltatásokon keresztül terjed, alkalmazásalapú rosszindulatú programok és social engineering technikák kombinációját alkalmazva, hogy csalárd banki alkalmazásokat töltsenek le. A támadási vektorok közé tartoznak az e-mail-, SMS- és üzenetküldő alkalmazások, amelyek során az áldozatokat egy legitim banki alkalmazás letöltésére csábítják, valójában azonban rosszindulatú összetevőket tartalmaz.

A FjordPhantom a virtualizáció révén elkerüli az észlelést

A rosszindulatú program megkülönböztető jellemzője, amely megkülönbözteti a többi banki trójaitól, az, hogy virtualizációt használ rosszindulatú kódok futtatására egy tárolóban, lehetővé téve az észlelés elkerülését. Ez a módszer megkerüli az Android sandbox-védelmét azáltal, hogy lehetővé teszi több alkalmazás futtatását ugyanabban a homokozóban, megkönnyítve az érzékeny adatokhoz való hozzáférést root hozzáférés nélkül.

Promon elmagyarázza, hogy a FjordPhantom által használt virtualizációs technika kódot tud injektálni egy alkalmazásba úgy, hogy a saját kódját betölti egy új folyamatba, mielőtt betöltené a hosztolt alkalmazás kódját. A FjordPhantom esetében a gazdagép alkalmazás letölt egy rosszindulatú modult a virtualizációs elemmel együtt, amely azután a megcélzott bank beágyazott alkalmazásának telepítésére és elindítására szolgál egy virtuális tárolóban.

További magyarázatként elmondható, hogy a csaló alkalmazást úgy tervezték, hogy betöltse a legális banki alkalmazást egy virtuális tárolóba, miközben a kulcsfontosságú API-k viselkedését módosító keretrendszert alkalmaz. Ez lehetővé teszi a rosszindulatú programok számára, hogy programozottan rögzítsék az érzékeny információkat az alkalmazás képernyőjéről, és bezárják azokat a párbeszédpaneleket, amelyek a felhasználó eszközén történő rosszindulatú tevékenységre figyelmeztetnek.

Hogyan tarthatja biztonságban Android-eszközét?

Az Android-eszköz biztonsága alapvető fontosságú személyes adatai, érzékeny adatai és általános digitális jólétének védelme érdekében. Íme néhány alapvető tipp Android-eszköze biztonságának megőrzéséhez:

A szoftver frissítése:
Rendszeresen frissítse eszköze operációs rendszerét és alkalmazásait, hogy javítsa a biztonsági réseket, és élvezze a legújabb biztonsági funkciók előnyeit.

Alkalmazások letöltése megbízható forrásokból:
Alkalmazások letöltéséhez használja a hivatalos alkalmazásboltokat, például a Google Playt. Kerülje a harmadik féltől származó alkalmazásboltokat, mivel ezek rosszindulatú alkalmazásokat tartalmazhatnak.

Alkalmazásengedélyek:
Telepítés előtt ellenőrizze az alkalmazás engedélyeit. Legyen óvatos, ha egy alkalmazás olyan szükségtelen engedélyeket kér, amelyek nem kapcsolódnak a funkciójához.