محققان امنیت سایبری یک بدافزار پیشرفته اندرویدی به نام FjordPhantom را فاش کردند که از اوایل سپتامبر 2023 مشاهده شده است که کاربران کشورهای جنوب شرقی آسیا مانند اندونزی، تایلند و ویتنام را هدف قرار داده است.

شرکت امنیتی پرومون مستقر در اسلو در تحلیلی  گفت: «این برنامه عمدتاً از طریق خدمات پیام‌رسانی پخش می‌شود و بدافزار مبتنی بر برنامه را با مهندسی اجتماعی برای کلاهبرداری از مشتریان بانکی ترکیب می‌کند.

زنجیره‌های حمله که عمدتاً از طریق ایمیل، پیامک و برنامه‌های پیام‌رسان منتشر می‌شوند، گیرندگان را فریب می‌دهند تا یک برنامه بانکی ادعایی را دانلود کنند که دارای ویژگی‌های قانونی است، اما اجزای سرکش را نیز در خود جای داده است.

سپس قربانیان تحت یک تکنیک مهندسی اجتماعی مشابه تحویل حمله تلفنی (TOAD) قرار می گیرند که شامل تماس با یک مرکز تماس جعلی برای دریافت دستورالعمل های گام به گام برای اجرای برنامه است.

یکی از ویژگی های کلیدی بدافزار که آن را از سایر تروجان های بانکی در نوع خود متمایز می کند، استفاده از مجازی سازی برای اجرای کدهای مخرب در یک کانتینر و پرواز در زیر رادار است.

پرومون گفت، این روش مخرب، حفاظت‌های جعبه ایمنی اندروید را می‌شکند، زیرا به برنامه‌های مختلف اجازه می‌دهد در یک جعبه ماسه‌بازی اجرا شوند و بدافزار را قادر می‌سازد تا به داده‌های حساس بدون نیاز به دسترسی ریشه دسترسی پیدا کند.

راه‌حل‌های مجازی‌سازی مانند آنچه که توسط بدافزار استفاده می‌شود نیز می‌تواند برای تزریق کد به برنامه استفاده شود، زیرا راه‌حل مجازی‌سازی ابتدا کد خود (و هر چیز دیگری را که در برنامه‌اش یافت می‌شود) در یک فرآیند جدید بارگیری می‌کند و سپس کد میزبان را بارگیری می‌کند. بنجامین آدولفی، محقق امنیتی گفت.

در مورد FjordPhantom، برنامه میزبان دانلود شده شامل یک ماژول مخرب و عنصر مجازی سازی است که سپس برای نصب و راه اندازی برنامه تعبیه شده بانک مورد نظر در یک ظرف مجازی استفاده می شود.

به عبارت دیگر، برنامه جعلی برای بارگیری برنامه قانونی بانک در یک کانتینر مجازی مهندسی شده است و در عین حال از یک چارچوب قلاب‌کننده در محیط استفاده می‌کند تا رفتار APIهای کلیدی را تغییر دهد تا اطلاعات حساس را از صفحه برنامه به‌طور برنامه‌ریزی دریافت کند و کادرهای گفتگوی مورد استفاده را ببندد. هشدار فعالیت های مخرب در دستگاه های کاربران.

هنگامی که برای اظهار نظر تماس گرفته شد، سخنگوی گوگل به هکر نیوز گفت: «کاربران توسط Google Play Protect محافظت می‌شوند، که می‌تواند به کاربران هشدار دهد یا برنامه‌هایی را مسدود کند که در دستگاه‌های Android با سرویس‌های Google Play رفتار مخرب از خود نشان می‌دهند، حتی زمانی که این برنامه‌ها از منابعی خارج باشند. از گوگل پلی.”

آدولفی می‌گوید: «خود FjordPhantom به روشی ماژولار برای حمله به برنامه‌های بانکی مختلف نوشته شده است. بسته به اینکه کدام برنامه بانکی در بدافزار تعبیه شده باشد، حملات مختلفی را به این برنامه ها انجام می دهد.