Promon 发现了名为 FjordPhantom 的新Android 恶意软件。该病毒使用独特的虚拟化策略,通过在特殊容器中运行恶意代码来逃避检测。
FjordPhantom 攻击的本质是邀请受害者下载模仿真实银行应用程序的虚假银行应用程序。事实上,这些应用程序包含在虚拟环境中运行的恶意代码,以破坏真实的银行应用程序。感染的主要目标是窃取网上银行凭证并操纵帐户交易。
峡湾幻影袭击
该恶意软件通过电子邮件、短信和即时通讯工具进行传播,在印度尼西亚、泰国、越南、新加坡和马来西亚等东南亚国家进行了攻击。值得注意的是,FjordPhantom 的一次使用导致受害者被盗 28 万美元,这是由于恶意软件的规避性质和以“银行客户服务代表”电话形式进行的社会工程相结合而造成的。
该恶意软件使用虚拟化在受害者的设备上创建虚拟容器,而用户不会有任何怀疑。恶意代码与真实的银行应用程序一起在容器内运行,使其能够操纵数据并拦截敏感信息。
尤其令人不安的是,FjordPhantom 违反了 Android 沙盒这一核心安全概念,该概念旨在阻止应用程序相互通信。这使得攻击特别危险,因为银行应用程序代码不会发生更改,并且传统的恶意软件检测方法无能为力。
此外,FjordPhantom 能够阻止与 GooglePlayServices 相关的功能,从而使根安全检查难以检测。该恶意软件还能够拦截日志数据,这可能表明该恶意软件正在积极开发和改进,以针对其他应用程序进行有针对性的攻击。Promon 警告说,鉴于 FjordPhantom 的积极开发,该恶意软件未来可能会扩大其影响范围到新的国家和目标。
转自安全客,原文链接:https://www.anquanke.com/post/id/291615
封面来源于网络,如有侵权请联系删除