นักวิจัยด้านความปลอดภัยได้เปิดเผยมัลแวร์ Android ใหม่ที่ซับซ้อนชื่อว่า FjordPhantom ซึ่งมีเป้าหมายผู้ใช้ในประเทศในเอเชียตะวันออกเฉียงใต้ เช่น อินโดนีเซีย ไทย และเวียดนาม ตั้งแต่ต้นเดือนกันยายน 2023 ส่วนใหญ่จะแพร่กระจายผ่านบริการ SMS ซึ่งรวมมัลแวร์ที่ใช้งานผ่านแอปพลิเคชันพร้อมกับเทคนิคพิเศษเพื่อทำให้ผู้ใช้ของธนาคารตกเป็นเหยื่อของการฉ้อโกง
เผยแพร่ผ่านอีเมล SMS และแอปพลิเคชันส่งข้อความเป็นหลัก กลุ่มผู้ไม่ประสงค์ดีหลอกให้ผู้ใช้ดาวน์โหลดแอปพลิเคชันธนาคารที่อ้างว่ามาพร้อมกับฟีเจอร์ที่ถูกต้องตามกฎหมาย แล้วยังรวมเอาส่วนที่เป็นอันตรายรวมเข้าไปกับแอปพลิเคชันด้วย จากนั้นผู้ใช้จะได้รับเทคพิเศษที่คล้ายกับ Telephone Oriented Attack Delivery (TOAD) ซึ่งเกี่ยวข้องกับการโทรไปยังคอลเซ็นเตอร์ปลอมเพื่อรับคำแนะนำทีละขั้นตอนในการเรียกใช้แอปพลิเคชัน ลักษณะสําคัญที่ทําให้มัลแวร์นี้แตกต่างจากโทรจันธนาคารอื่นๆ ที่คล้ายคลึงกันก็คือการใช้ virtualization เพื่อเรียกใช้โค้ดที่เป็นอันตรายใน Container และ Fly under the radar
Promon กล่าวว่าวิธีการนี้ทำลายการป้องกันแซนด์บ็อกซ์ของ Android เนื่องจากอนุญาตให้แอปพลิเคชันต่างๆ ทำงานบนแซนด์บ็อกซ์เดียวกันได้ ทำให้มัลแวร์สามารถเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ต้องมีการเข้าถึงรูท
Virtualization solutions ที่มัลแวร์ใช้ สามารถใช้เพื่อแทรกโค้ดลงในแอปพลิเคชันได้ เนื่องจาก Virtualization solutions จะโหลดโค้ดของตัวเองก่อน (และทุกอย่างที่พบในแอป) เช้าสู่ New process จากนั้นจึงโหลดโค้ดของแอปพลิเคชันโฮสต์
ในกรณีของ FjordPhantom แอปพลิเคชันโฮสต์ที่ถูกดาวน์โหลดมานั้นจะมีโมดูลที่เป็นอันตราย
และ Virtualization element ที่จะถูกใช้ในการติดตั้งและเปิดใช้งานแอปพลิเคชันที่ถูกฝังไว้ของธนาคารเป้าหมายใน Virtual container
กล่าวอีกนัยหนึ่ง แอปพลิเคชันปลอมได้รับการออกแบบมาเพื่อโหลดแอปพลิเคชันที่ถูกต้องตามกฎหมายของธนาคารใน Virtual container ในขณะเดียวกันก็ใช้เฟรมเวิร์ก Hooking ภายในสภาพแวดล้อมเพื่อปรับเปลี่ยนพฤติกรรมของ API และที่สำคัญยังดึงข้อมูลที่ละเอียดอ่อนจากหน้าจอของแอปพลิเคชันโดยทางโปรแกรม
และปิดกล่องโต้ตอบที่ใช้เตือนกิจกรรมที่เป็นอันตรายบนอุปกรณ์ของผู้ใช้ได้โดยอัตโนมัติ
เมื่อได้รับความคิดเห็น โฆษกของ Google บอกกับ The Hacker News ว่า ผู้ใช้ได้รับการคุ้มครองโดย Google Play Protect ซึ่งสามารถเตือนหรือบล็อกแอปพลิเคชันที่ทราบแสดงพฤติกรรมที่เป็นอันตรายบนอุปกรณ์ Android ที่มี Google Play Services แม้ว่าแอปพลิเคชันเหล่านั้นจะมาจากแหล่งภายนอกก็ตาม ของ Google Play
FjordPhantom ถูกเขียนขึ้นในรูปแบบโมดูลาร์เพื่อโจมตีแอปพลิเคชันธนาคารต่างๆ Adolphi กล่าวว่า ขึ้นอยู่กับแอปพลิเคชันธนาคารที่ฝังอยู่ในมัลแวร์ จะดำเนินการโจมตีแอปพลิเคชันในวิธีต่างๆ
คำแนะนำ
- หลีกเลี่ยงการดาวน์โหลดแอปพลิเคชันจากแหล่งที่มาไม่น่าเชื่อถือ ให้ใช้ Google Play เท่านั้นเพื่อความปลอดภัย
- ตรวจสอบให้แน่ใจว่า Google Play Protect ได้รับการเปิดใช้งานบนอุปกรณ์ของผู้ใช้แล้วหรือยัง เพราะ Google Play Protect สามารถตรวจจับและป้องกันมัลแวร์ได้
- อย่าคลิกที่ลิงก์หรือเปิดไฟล์จากแหล่งที่มาไม่น่าเชื่อถือ แม้จะเป็นลิงก์หรือไฟล์ที่ผู้ใช้ได้รับผ่านอีเมลหรือข้อความ
- ทำให้แน่ใจว่าแอปธนาคารและระบบปฏิบัติการของผู้ใช้เองได้รับการอัปเดตในเวอร์ชันล่าสุด เนื่องจากการอัปเดตจะรวมถึงการแก้ไขช่องโหว่ที่สามารถถูกใช้โดยมัลแวร์เพื่อทำความเสียหายได้
Ref : https://thehackernews.com/2023/12/new-fjordphantom-android-malware.html