Výzkumníci v oblasti kybernetické bezpečnosti odhalili nový sofistikovaný malware pro Android s názvem FjordPhantom, který byl pozorován od začátku září 2023 a je zaměřený na uživatele v zemích jihovýchodní Asie, jako je Indonésie, Thajsko a Vietnam.
„Šíří se především prostřednictvím služeb zasílání zpráv a kombinuje malware založený na aplikacích se sociálním inženýrstvím, aby oklamal zákazníky bankovnictví,“ uvedla firma Promon pro zabezpečení mobilních aplikací z Osla ve zveřejněné analýze.
Řetězce útoků, které se šíří hlavně prostřednictvím e-mailu, SMS a aplikací pro zasílání zpráv, oklamou příjemce, aby si stáhli údajnou bankovní aplikaci, která je vybavena legitimními funkcemi, ale také obsahuje nepoctivé komponenty.
Oběti jsou poté podrobeny technice sociálního inženýrství, která je podobná telefonicky orientovanému doručování útoku (TOAD), což zahrnuje zavolání falešného call centra, kde obdrží podrobné pokyny pro spuštění aplikace.
Klíčovou vlastností malwaru, která jej odlišuje od ostatních bankovních trojských koní svého druhu, je použití virtualizace ke spuštění škodlivého kódu v kontejneru.
Záludná metoda narušuje ochranu karantény Androidu, protože umožňuje spouštění různých aplikací ve stejné karanténě, což umožňuje malwaru přistupovat k citlivým datům bez nutnosti přístupu root.
„Virtualizační řešení, jako je ta, která používá malware, lze také použít k vložení kódu do aplikace, protože virtualizační řešení nejprve načte svůj vlastní kód (a vše ostatní, co se nachází v jeho aplikaci) do nového procesu a poté načte kód hostované aplikace,“ řekl bezpečnostní výzkumník Benjamin Adolphi.
V případě FjordPhantom obsahuje stažená hostitelská aplikace škodlivý modul a prvek virtualizace, který se poté použije k instalaci a spuštění vestavěné aplikace cílové banky ve virtuálním kontejneru.
Jinými slovy, falešná aplikace je navržena tak, aby nahrála legitimní aplikaci banky do virtuálního kontejneru, a zároveň využívá háčkovací rámec v prostředí ke změně chování klíčových rozhraní API tak, aby programově získávala citlivé informace z obrazovky aplikace a zavírala dialogová okna používaná k varování před škodlivou aktivitou na zařízeních uživatelů.
„Samotný FjordPhantom je napsán modulárním způsobem, aby útočil na různé bankovní aplikace,“ řekl Adolphi. „V závislosti na tom, která bankovní aplikace je vložena do malwaru, provede různé útoky na tyto aplikace.“
Zdroj: thehackernews.com