Бесплатно Экспресс-аудит сайта:

02.12.2023

Виртуализация как оружие: вредонос FjordPhantom проникает в онлайн-банки жертв

Компания Promon обнаружила новое вредоносное ПО для Android , получившее название FjordPhantom. Вирус использует уникальную тактику виртуализации, чтобы скрываться от обнаружения, запуская вредоносный код в специальном контейнере.

Суть атаки FjordPhantom заключается в том, что жертвам предлагается скачать поддельные банковские приложения, имитирующие настоящие. На самом деле приложения содержат вредоносный код, работающий в виртуальной среде для подрыва работы реального банковского приложения. Основная цель заражения – кража учетных данных онлайн-банка и манипулирование транзакциями на счёте.

Атака FjordPhantom

Вредонос распространяется через электронную почту, SMS и мессенджеры, при этом атаки зафиксированы в странах Юго-Восточной Азии, включая Индонезию, Таиланд, Вьетнам, Сингапур и Малайзию. Примечательно, что один из случаев использования FjordPhantom привел к краже у жертвы $280 000, что стало возможным благодаря сочетанию уклончивого характера вредоносного ПО с социальной инженерией в виде звонков от «сотрудников службы поддержки клиентов банка».

Вредонос использует виртуализацию для создания виртуального контейнера на устройстве жертвы, при этом сам пользователь ничего не подозревает. Вредоносный код запускается внутри контейнера вместе с настоящим банковским приложением, что позволяет ему манипулировать данными и перехватывать конфиденциальную информацию.

Особенно тревожным является тот факт, что FjordPhantom нарушает основную концепцию безопасности, песочницу Android Sandbox, предназначенную для предотвращения взаимодействия приложений друг с другом. Это делает атаку особенно опасной, так как изменения в коде банковского приложения не происходят, и обычные методы обнаружения вредоносных программ оказываются бессильными.

Кроме того, FjordPhantom способен блокировать функции, связанные с GooglePlayServices, что затрудняет обнаружение корневых проверок безопасности. Вредоносное ПО также способно перехватывать данные журналирования, что может указывать на активную разработку и усовершенствование вредоноса для целенаправленных атак на другие приложения. В Promon предупредили, что, учитывая активную разработку FjordPhantom, в будущем вредонос может расширить свою сферу воздействия, охватывая новые страны и цели.