Ένα νέο Android malware με το όνομα FjordPhantom ανακαλύφθηκε να χρησιμοποιεί εικονικοποίηση για να εκτελέσει κακόβουλο κώδικα σε ένα container και να αποφύγει την ανίχνευση.

Δείτε επίσης: Κακόβουλα Google ads εξαπατούν τους χρήστες Mac να εγκαταστήσουν το Atomic Stealer malware

Το malware ανακαλύφθηκε από την Promon, οι αναλυτές της αναφέρουν ότι επί του παρόντος διαδίδεται μέσω ηλεκτρονικών μηνυμάτων, SMS και εφαρμογών ανταλλαγής μηνυμάτων, στοχεύοντας τις τραπεζικές εφαρμογές στην Ινδονησία, την Ταϊλάνδη, το Βιετνάμ, τη Σιγκαπούρη και τη Μαλαισία.

Τα θύματα εξαπατώνται και κατεβάζουν εφαρμογές που φαίνονται να είναι νόμιμες τραπεζικές εφαρμογές, αλλά περιέχουν κακόβουλο κώδικα που εκτελείται σε εικονικό περιβάλλον για να επιτεθεί στην πραγματική τραπεζική εφαρμογή. Το FjordPhantom αποσκοπεί στην κλοπή διαπιστευτηρίων τραπεζικών λογαριασμών και στην παραπλάνηση συναλλαγών μέσω εκτέλεσης απάτης στη συσκευή.

Η έκθεση της Promon παρουσιάζει ένα περιστατικό όπου το FjordPhantom κλέβει 280.000 δολάρια από ένα μόνο θύμα, εκμεταλλευόμενο την αποφυγή ανίχνευσης του κακόβουλου λογισμικού και την social engineering, όπως τηλεφωνήματα που προέρχονται υποτίθεται από υπάλληλους της τραπεζικής εξυπηρέτησης πελατών.

Στο Android, πολλές εφαρμογές μπορούν να εκτελούνται σε απομονωμένα περιβάλλοντα που ονομάζονται “containers” για λόγους νομιμότητας, όπως η εκτέλεση πολλαπλών αντιγράφων της ίδιας εφαρμογής με χρήση διαφορετικών λογαριασμών.

Το FjordPhantom ενσωματώνει μια λύση εικονικοποίησης από έργα ανοιχτού κώδικα, για να δημιουργήσει ένα εικονικό container στη συσκευή χωρίς να το γνωρίζει ο χρήστης. Μετά την εκκίνηση, το κακόβουλο λογισμικό εγκαθιστά το APK της τραπεζικής εφαρμογής που επιθυμούσε να κατεβάσει ο χρήστης και εκτελεί κακόβουλο κώδικα μέσα στον ίδιο χώρο, καθιστώντας το μέρος της αξιόπιστης διεργασίας.

Δείτε ακόμα: Malware και ransomware εξακολουθούν να αποτελούν τις μεγαλύτερες απειλές στον κυβερνοχώρο

Με την τραπεζική εφαρμογή να τρέχει μέσα στο εικονικό του container, το FjordPhantom μπορεί να εισάγει τον κώδικά του για να συνδέσει σημαντικά APIs που του επιτρέπουν να καταγράφει διαπιστευτήρια, να παραποιεί συναλλαγές, να παρεμβαίνει σε ευαίσθητες πληροφορίες, κ.λπ. Σε ορισμένες εφαρμογές, το πλαίσιο αγκίστρωσης του κακόβουλου λογισμικού παρεμβαίνει επίσης στα στοιχεία της διεπαφής χρήστη για να κλείσει αυτόματα τα παράθυρα προειδοποίησης και να κάνει το θύμα ανήμπορο να αντιληφθεί την παραβίαση.

Η εταιρεία Promon παρατηρεί ότι αυτό το κόλπο εικονικοποίησης παραβιάζει το αρχικό συμβόλαιο ασφαλείας της “Ασφαλούς περιοχής Android”, το οποίο αποτρέπει τις εφαρμογές από το να έχουν πρόσβαση στα δεδομένα μιας άλλης εφαρμογής ή να επηρεάζουν τη λειτουργία της, καθώς οι εφαρμογές μέσα σε ένα container μοιράζονται την ίδια ασφαλή περιοχή. Αυτή είναι μία ιδιαίτερα δύσκολη επίθεση, καθώς η τραπεζική εφαρμογή αυτή καθαυτή δεν τροποποιείται, οπότε η ανίχνευση παραβίασης κώδικα δεν βοηθά να εντοπιστεί η απειλή

.

Επιπλέον, με τη χρήση του FjordPhantom, που συνδέεται με τις διεπαφές εφαρμογών που σχετίζονται με τις υπηρεσίες του GooglePlay, καθιστά αδύνατη την προβολή τους στη συσκευή, εμποδίζοντας έτσι τους αντίστοιχους ελέγχους ασφαλείας. Οι διαδικασίες “αγκίστρωσης” του κακόβουλου λογισμικού επεκτείνονται ακόμα και στην καταγραφή, παρέχοντας πιθανώς υποδείξεις στους προγραμματιστές για την πραγματοποίηση πιο στοχευμένων επιθέσεων σε διάφορες εφαρμογές.

Η Promon σχολιάζει ότι πιθανότατα πρόκειται για ενεργή ανάπτυξη του λογισμικού, αυξάνοντας τον κίνδυνο να διευρύνει το πεδίο επίθεσής του το FjordPhantom πέρα από τις αναφερόμενες χώρες σε μελλοντικές εκδόσεις.

Δείτε επίσης: Η ομάδα Red Menshen εξελίσσει ταχύτατα το BPFDoor malware

Η πρόληψη της μόλυνσης από το FjordPhantom Android malware μπορεί να επιτευχθεί με τη λήψη ορισμένων προληπτικών μέτρων ασφαλείας. Πρώτον, είναι σημαντικό να εγκαταστήσετε μια αξιόπιστη εφαρμογή antivirus στη συσκευή σας και να την ενημερώνετε τακτικά. Αυτή η εφαρμογή θα αναγνωρίζει και θα απομακρύνει το malware πριν προλάβει να μολύνει τη συσκευή σας.

Επιπλέον, αποφύγετε το κατέβασμα και την εγκατάσταση εφαρμογών από μη αξιόπιστες πηγές. Προτιμήστε το Google Play Store ή άλλες επίσημες πλατφόρμες λήψης εφαρμογών, καθώς αυτές έχουν μηχανισμούς ασφαλείας για τον έλεγχο των εφαρμογών πριν τις διαθέσουν στο κοινό.

Επιπλέον, να είστε προσεκτικοί με τα ανεπιθύμητα email, μηνύματα κειμένου ή κλήσεις που λαμβάνετε. Μην ανοίγετε συνημμένα αρχεία ή κάνετε κλικ σε συνδέσμους από απροσδόκητες πηγές, καθώς αυτά μπορεί να περιέχουν το malware.

Τέλος, ενημερώνετε το Android λειτουργικό σύστημα της συσκευής σας στην τελευταία διαθέσιμη έκδοση. Οι ενημερώσεις περιέχουν συχνά βελτιώσεις ασφαλείας και διορθώσεις για γνωστά προβλήματα ασφαλείας, που μπορεί να εμποδίσουν τη μόλυνση από το FjordPhantom Android malware.

Πηγή: bleepingcomputer