Forscher warnen vor Android-Malware, die allein einem Opfer 280.000 US-Dollar gestohlen hat

0

Cyberkriminelle erfinden ständig neue Wege, um das System auszutricksen. Man fragt sich, wenn sie so schlau sind, warum haben sie dann nichts Besseres aus ihrem Leben gemacht? In diesem Beitrag geht es natürlich nicht darum, über die Intelligenz von Online-Kriminellen zu schwärmen. Es geht um eine neue Android-Malware namens FjordPhantom.
Von Sicherheitsfirma entdeckt Promon, FjordPhantom ist eine Malware, die noch nie dagewesene Strategien nutzt. Was es beängstigend macht, ist, dass es sehr gut darin ist, einer Entdeckung zu entgehen.

Es wird angenommen, dass die Malware in den asiatischen Ländern Indonesien, Thailand, Vietnam, Singapur und Malaysia verheerende Schäden anrichtet. Ein Opfer wurde um 10 Millionen thailändische Baht oder rund 280.000 US-Dollar betrogen.

Der Angriff wird eingeleitet, indem dem Opfer eine E-Mail oder Nachricht mit der Aufforderung zum Herunterladen einer legitimen Banking-App gesendet wird. Der Haken daran ist, dass die App nach dem Herunterladen in einer virtuellen Umgebung ausgeführt wird, um Angreifern die Kontrolle über das Geschehen zu geben. Virtualisierung bietet eine private Ausführungsumgebung zum Ausführen von Code und hilft Ihnen dabei, beispielsweise dieselbe App zweimal herunterzuladen, damit sie von zwei Benutzern verwendet werden kann, die dasselbe Gerät teilen.

Die Malware nutzt außerdem ein Hooking-Framework, um verschiedene Aktionen abzufangen. Hooking ist eine Technik, mit der das Verhalten von Apps oder Betriebssystemen geändert wird.

Der Angriff hat auch ein soziales Element: Nachdem eine App heruntergeladen wurde, rufen die Cyberkriminellen das Opfer an und geben sich als Kundendienstmitarbeiter der Bank aus, um beim Betrieb der App zu helfen. Dieser Schritt kann dem Angreifer dabei helfen, das Opfer dazu zu verleiten, eine Transaktion durchzuführen oder Anmeldeinformationen preiszugeben.

Indem FjordPhantom eine legitime App in ein virtuelles Dateisystem herunterlädt und Hooking verwendet, manipuliert es die Art und Weise, wie eine App normalerweise von Android gehandhabt wird, um zwielichtiges Verhalten zu melden.

Da die App in einem virtuellen Container installiert ist, unterbricht sie die Android-Sandbox, eine Sicherheitsfunktion, die den Code und die Daten einer App von anderen Apps und dem System isoliert. Wenn eine App bösartig ist, kann sie auf diese Weise keine anderen Apps oder das Kernsystem manipulieren.

Ohne Sandboxing können Apps auf die Dateien der anderen zugreifen und Code ineinander einschleusen. Außerdem ist kein Root-Zugriff mehr erforderlich und die Root-Erkennung wird verhindert.

Kurz gesagt, diese Taktiken ermöglichen es FjordPhantom, Angriffe durchzuführen, ohne entdeckt zu werden, da ein Benutzer nie bemerken würde, dass es eine Virtualisierungslösung verwendet. Mithilfe des Hooking-Frameworks wird verhindert, dass das System Benutzer beispielsweise vor der Verwendung von Screenreadern zum Diebstahl vertraulicher Informationen warnt.

Promon glaubt, dass sich FjordPhantom weiterentwickeln wird. Stellen Sie zu Ihrem eigenen Schutz sicher, dass Sie Apps nur von vertrauenswürdigen Quellen herunterladen und vermeiden Sie die Weitergabe vertraulicher Informationen am Telefon, selbst wenn die Person am anderen Ende vorgibt, von Ihrer Bank zu sein, da Banken ihre Kunden in der Regel nie nach solchen Informationen fragen Anruf.

source site-33