Киберпрестъпниците постоянно измислят нови начини да измамят системата. Човек направо се чуди защо, ако са толкова умни, не са направили нещо по-добро в живота си? Разбира се, тази публикация не е за да се възхищаваме на интелигентността на онлайн престъпниците. Става въпрос за нов зловреден софтуер за Android, наречен FjordPhantom.

Открит от компанията за сигурност Promon, FjordPhantom е зловреден софтуер, който използва невиждани досега стратегии. Това, което го прави страшен, е, че той е много добър в избягването на откриване и заблуждаване на жертвите.

Смята се, че сега зловредният софтуер сее хаос в азиатските държави Индонезия, Тайланд, Виетнам, Сингапур и Малайзия. Една от жертвите е била измамена с 10 милиона тайландски бата, или около 280 000 долара.

Атаката се инициира чрез изпращане на имейл или съобщение до жертвата с подкана да изтегли легитимно банково приложение. Уловката се състои в това, че след като приложението бъде изтеглено, то се стартира във виртуална среда, за да даде на нападателите контрол върху случващото се. Виртуализацията осигурява частна среда за изпълнение на кода и помага да се правят неща като изтегляне на едно и също приложение два пъти, така че то да може да се използва от двама потребители, споделящи едно и също устройство.

Зловредният софтуер също така използва рамка за закачане, за да прихваща различни действия. Закачането е техника, която се използва за промяна на поведението на приложенията или операционните системи.

В атаката има и социален елемент: след изтеглянето на дадено приложение киберпрестъпниците се обаждат на жертвата, представяйки се за служител на отдела за обслужване на клиенти от банката, за да помогнат за стартирането на приложението. Тази стъпка може да помогне на нападателя да подмами жертвата да извърши трансакция или да разкрие идентификационни данни.

Чрез изтегляне на легитимно приложение във виртуална файлова система и използване на hooking, FjordPhantom обърква начина, по който приложението обикновено се обработва от Android, за да сигнализира за всяко съмнително поведение.

Тъй като приложението е инсталирано във виртуален контейнер, то нарушава функцията за сигурност на Android, която изолира кода и данните на приложението от други приложения и системата. По този начин, ако едно приложение е злонамерено, то не може да манипулира други приложения или ядрото на системата.

Без пясъчник приложенията могат да имат достъп до файловете си и да инжектират код едно в друго. Тя също така елиминира нуждата от root достъп и предотвратява откриването на root.

Накратко, тези тактики позволяват на FjordPhantom да извършва атаки, без да бъде открит, тъй като потребителят никога няма да разбере, че използва решение за виртуализация. Използвайки рамката за закачане, тя не позволява на системата да прави неща, като например да предупреждава потребителите за използването на екранни четци за кражба на чувствителна информация.

Експертите вярват, че FjordPhantom ще продължи да се развива. За да се защитите, уверете се, че изтегляте приложения само от надеждни източници, и избягвайте да давате чувствителна информация по телефона дори ако лицето от другата страна твърди, че е от вашата банка, тъй като банките обикновено никога не искат от клиентите си такава информация при телефонно обаждане.

Както обикновено, Google успокои потребителите на Android, че не е необходимо да изпадат в паника.

Снимка: Unsplash

Виж още: Бъдещите ANC слушалки може да ви позволят да изберете кои звуци от реалния свят да филтрирате