Исследователи кибербезопасности раскрыли новую сложную вредоносную программу для Android под названием FjordPhantom, которая была замечена нацеленной на пользователей в странах Юго-Восточной Азии, таких как Индонезия, Таиланд и Вьетнам, с начала сентября 2023 года.
"Распространяясь в основном через службы обмена сообщениями, она сочетает вредоносное ПО на основе приложений с социальной инженерией для обмана банковских клиентов", - говорится в анализе, опубликованном в четверг компанией Promon'ом, занимающейся безопасностью мобильных приложений в Осло.
Распространяемая в основном через электронную почту, SMS и приложения для обмена сообщениями, цепочки атак обманом заставляют получателей загружать якобы банковское приложение, которое оснащено законными функциями, но также включает в себя мошеннические компоненты.
Затем жертвы подвергаются технике социальной инженерии, похожей на телефонную атаку (TOAD), которая включает в себя звонок в фиктивный колл-центр для получения пошаговых инструкций по запуску приложения.
Ключевой характеристикой вредоносного ПО, отличающей его от других банковских троянов подобного рода, является использование виртуализации для запуска вредоносного кода в контейнере и незаметности.
По словам Промона, скрытый метод нарушает защиту "песочницы" Android, поскольку позволяет запускать разные приложения в одной и той же "песочнице", позволяя вредоносной программе получать доступ к конфиденциальным данным, не требуя root-доступа.
"Решения для виртуализации, подобные используемому вредоносным ПО, также могут использоваться для внедрения кода в приложение, поскольку решение для виртуализации сначала загружает свой собственный код (и все остальное, что находится в его приложении) в новый процесс, а затем загружает код размещенного приложения", - сказал исследователь безопасности Бенджамин Адольфи.
В случае с FjordPhantom загруженное хост-приложение содержит вредоносный модуль и элемент виртуализации, который затем используется для установки и запуска встроенного приложения целевого банка в виртуальном контейнере.
Другими словами, поддельное приложение разработано для загрузки законного приложения банка в виртуальный контейнер, а также использует платформу перехвата в среде для изменения поведения ключевых API-интерфейсов для программного получения конфиденциальной информации с экрана приложения и закрытия диалоговых окон, используемых для предупреждения о вредоносной активности на устройствах пользователей.
"Сам FjordPhantom написан модульным способом для атаки на различные банковские приложения", - сказал Адольфи. "В зависимости от того, какое банковское приложение встроено в вредоносное ПО, оно будет выполнять различные атаки на эти приложения".
