Phần mềm độc hại Android FjordPhantom mới nhắm mục tiêu các ứng dụng ngân hàng ở Đông Nam Á

Các nhà nghiên cứu an ninh mạng đã tiết lộ một phần mềm độc hại Android tinh vi mới có tên FjordPhantom, được quan sát thấy nhắm mục tiêu vào người dùng ở các quốc gia Đông Nam Á như Indonesia, Thái Lan và Việt Nam kể từ đầu tháng 9 năm 2023.

“Lây lan chủ yếu thông qua các dịch vụ nhắn tin, nó kết hợp phần mềm độc hại dựa trên ứng dụng với kỹ thuật xã hội để lừa gạt khách hàng ngân hàng”, công ty bảo mật ứng dụng di động có trụ sở tại Oslo, Promon cho biết trong một phân tích được công bố hôm thứ Năm.

Được lan truyền chủ yếu qua email, SMS và ứng dụng nhắn tin, chuỗi tấn công lừa người nhận tải xuống một ứng dụng ngân hàng được cho là có các tính năng hợp pháp nhưng cũng kết hợp các thành phần lừa đảo.

Sau đó, nạn nhân sẽ phải áp dụng một kỹ thuật lừa đảo xã hội giống như tấn công theo hướng điện thoại (TOAD), bao gồm việc gọi đến một trung tâm cuộc gọi giả để nhận hướng dẫn từng bước cách chạy ứng dụng.

Đặc điểm chính của phần mềm độc hại khiến nó khác biệt với các trojan ngân hàng khác cùng loại là việc sử dụng ảo hóa để chạy mã độc.

Promon cho biết, phương pháp lén lút này phá vỡ các biện pháp bảo vệ hộp cát của Android vì nó cho phép các ứng dụng khác nhau chạy trên cùng một hộp cát, cho phép phần mềm độc hại truy cập dữ liệu nhạy cảm mà không cần quyền truy cập root.

“Các giải pháp ảo hóa như giải pháp mà phần mềm độc hại sử dụng cũng có thể được sử dụng để đưa mã vào ứng dụng vì giải pháp ảo hóa trước tiên tải mã của chính nó (và mọi thứ khác được tìm thấy trong ứng dụng của nó) vào một quy trình mới, sau đó tải mã của máy chủ được lưu trữ. ứng dụng", nhà nghiên cứu bảo mật Benjamin Adolphi cho biết.

Trong trường hợp của FjordPhantom, ứng dụng máy chủ được tải xuống bao gồm một mô-đun độc hại và phần tử ảo hóa, sau đó được sử dụng để cài đặt và khởi chạy ứng dụng nhúng của ngân hàng mục tiêu trong một vùng chứa ảo.

Nói cách khác, ứng dụng không có thật được thiết kế để tải ứng dụng hợp pháp của ngân hàng vào một vùng chứa ảo đồng thời sử dụng khung nối trong môi trường để thay đổi hành vi của các API chính nhằm lấy thông tin nhạy cảm từ màn hình của ứng dụng theo chương trình và đóng các hộp thoại được sử dụng để cảnh báo hoạt động độc hại trên thiết bị của người dùng.

Khi đưa ra bình luận, người phát ngôn của Google nói với The Hacker News rằng “người dùng được bảo vệ bởi Google Play Protect, có thể cảnh báo người dùng hoặc chặn các ứng dụng được biết là có hành vi độc hại trên thiết bị Android bằng Dịch vụ của Google Play, ngay cả khi những ứng dụng đó đến từ các nguồn bên ngoài”. của Google Play.”

Adolphi cho biết: “Bản thân FjordPhantom được viết theo mô-đun để tấn công các ứng dụng ngân hàng khác nhau”. “Tùy thuộc vào ứng dụng ngân hàng nào được nhúng vào phần mềm độc hại, nó sẽ thực hiện nhiều cuộc tấn công khác nhau vào các ứng dụng này.”

Hương – Theo TheHackerNews

​