Złośliwe oprogramowanie mobilne FjordPhantom kryje się za wirtualizacją

Badacze ds. bezpieczeństwa ujawnili istnienie niedawno zidentyfikowanego i wysoce wyrafinowanego szkodliwego oprogramowania dla systemu Android znanego jako FjordPhantom, które od początku września 2023 r. aktywnie atakuje osoby w krajach Azji Południowo-Wschodniej, takich jak Indonezja, Tajlandia i Wietnam.

Według analizy opublikowanej przez Promon, szwedzką firmę zajmującą się bezpieczeństwem aplikacji mobilnych, szkodliwe oprogramowanie rozprzestrzenia się głównie za pośrednictwem usług przesyłania wiadomości, wykorzystując kombinację złośliwego oprogramowania opartego na aplikacjach i technik inżynierii społecznej w celu oszukania użytkowników w celu pobrania fałszywych aplikacji bankowych. Wektory ataku obejmują aplikacje do obsługi poczty e-mail, SMS-ów i komunikatorów, a ofiary są wabione do pobrania czegoś, co wydaje się być legalną aplikacją bankową, ale w rzeczywistości zawiera złośliwe komponenty.

FjordPhantom unika wykrycia dzięki wirtualizacji

Cechą charakterystyczną tego szkodliwego oprogramowania, odróżniającą go od innych trojanów bankowych, jest wykorzystanie wirtualizacji do wykonania szkodliwego kodu w kontenerze, co pozwala mu uniknąć wykrycia. Ta metoda omija zabezpieczenia piaskownicy systemu Android, umożliwiając działanie wielu aplikacji w tej samej piaskownicy, ułatwiając dostęp do wrażliwych danych bez konieczności posiadania dostępu do konta root.

Promon wyjaśnia, że technika wirtualizacji stosowana przez FjordPhantom umożliwia wstrzykiwanie kodu do aplikacji poprzez ładowanie własnego kodu do nowego procesu przed załadowaniem kodu hostowanej aplikacji. W przypadku FjordPhantom aplikacja hosta pobiera szkodliwy moduł wraz z elementem wirtualizacji, który następnie służy do instalowania i uruchamiania wbudowanej aplikacji docelowego banku w wirtualnym kontenerze.

Aby dokładniej wyjaśnić, fałszywa aplikacja została zaprojektowana tak, aby ładować legalną aplikację bankową do wirtualnego kontenera, jednocześnie wykorzystując platformę przechwytującą do modyfikowania zachowania kluczowych interfejsów API. Umożliwia to złośliwemu oprogramowaniu programowe przechwytywanie poufnych informacji z ekranu aplikacji i zamykanie okien dialogowych ostrzegających o złośliwej aktywności na urządzeniu użytkownika.

Jak chronić swoje urządzenie z Androidem?

Zabezpieczanie urządzenia z Androidem ma kluczowe znaczenie dla ochrony Twoich danych osobowych, wrażliwych i ogólnego dobrostanu cyfrowego. Oto kilka podstawowych wskazówek, jak chronić swoje urządzenie z Androidem:

Aktualizuj oprogramowanie:
Regularnie aktualizuj system operacyjny i aplikacje swojego urządzenia, aby łatać luki w zabezpieczeniach i korzystać z najnowszych funkcji zabezpieczeń.

Pobierz aplikacje z zaufanych źródeł:
Aby pobierać aplikacje, korzystaj z oficjalnych sklepów z aplikacjami, takich jak Google Play. Unikaj zewnętrznych sklepów z aplikacjami, ponieważ mogą zawierać złośliwe aplikacje.

Uprawnienia aplikacji:
Przed instalacją przejrzyj uprawnienia aplikacji. Zachowaj ostrożność, jeśli aplikacja żąda niepotrzebnych uprawnień, które wydają się niezwiązane z jej funkcjonalnością.