Yeni FjordPhantom Android Kötü Amaçlı Yazılımı Güneydoğu Asya'daki Bankacılık Uygulamalarını Hedefliyor

Siber güvenlik araştırmacıları, Eylül 2023'ün başından bu yana Endonezya, Tayland ve Vietnam gibi Güneydoğu Asya ülkelerindeki kullanıcıları hedef aldığı gözlemlenen FjordPhantom adlı yeni bir gelişmiş Android kötü amaçlı yazılımını ifşa etti.

Oslo merkezli mobil uygulama güvenlik firması Promon, Perşembe günü yayınlanan bir analizde, "Öncelikle mesajlaşma servisleri aracılığıyla yayılan, bankacılık müşterilerini dolandırmak için uygulama tabanlı kötü amaçlı yazılımları sosyal mühendislikle birleştiriyor" dedi.

Esas olarak e-posta, SMS ve mesajlaşma uygulamaları aracılığıyla yayılan saldırı zincirleri, alıcıları meşru özelliklerle donatılmış ancak aynı zamanda hileli bileşenler içeren sözde bir bankacılık uygulamasını indirmeleri için kandırır.

Kurbanlar daha sonra, uygulamayı çalıştırmak için adım adım talimatlar almak üzere sahte bir çağrı merkezini aramayı içeren, telefon odaklı saldırı teslimine (TOAD) benzer bir sosyal mühendislik tekniğine tabi tutulur.

Kötü amaçlı yazılımı, onu kendi türündeki diğer bankacılık truva atlarından ayıran önemli bir özellik, bir kapsayıcıda kötü amaçlı kod çalıştırmak ve radarın altında uçmak için sanallaştırmanın kullanılmasıdır.

Promon, sinsi yöntemin, farklı uygulamaların aynı sanal alanda çalıştırılmasına izin verdiği için Android'in korumalı alan korumalarını kırdığını ve kötü amaçlı yazılımın root erişimi gerektirmeden hassas verilere erişmesini sağladığını söyledi.

Güvenlik araştırmacısı Benjamin Adolphi, "Kötü amaçlı yazılım tarafından kullanılana benzer sanallaştırma çözümleri, bir uygulamaya kod enjekte etmek için de kullanılabilir, çünkü sanallaştırma çözümü önce kendi kodunu (ve uygulamasında bulunan diğer her şeyi) yeni bir işleme yükler ve ardından barındırılan uygulamanın kodunu yükler" dedi.

FjordPhantom söz konusu olduğunda, indirilen ana bilgisayar uygulaması kötü amaçlı bir modül ve daha sonra hedeflenen bankanın gömülü uygulamasını sanal bir kapsayıcıya yüklemek ve başlatmak için kullanılan sanallaştırma öğesini içerir.

Başka bir deyişle, sahte uygulama, bankanın meşru uygulamasını sanal bir kapsayıcıya yüklemek için tasarlanmıştır ve aynı zamanda uygulamanın ekranından hassas bilgileri programlı olarak almak ve kullanıcıların cihazlarındaki kötü amaçlı etkinlikleri uyarmak için kullanılan iletişim kutularını kapatmak için önemli API'lerin davranışını değiştirmek için ortam içinde bir kancalama çerçevesi kullanır.

Yorum için ulaşıldığında, bir Google sözcüsü'nün verdiği demeçte, "kullanıcıların, Google Play Hizmetleri'ne sahip Android cihazlarda kötü niyetli davranışlar sergilediği bilinen uygulamaları engelleyebilen veya bu uygulamalar Google Play dışındaki kaynaklardan gelse bile, kullanıcıları uyarabilen veya engelleyebilen Google Play Protect tarafından korunduğunu" söyledi.

Adolphi, "FjordPhantom'un kendisi, farklı bankacılık uygulamalarına saldırmak için modüler bir şekilde yazılmıştır" dedi. "Kötü amaçlı yazılıma hangi bankacılık uygulamasının gömülü olduğuna bağlı olarak, bu uygulamalara çeşitli saldırılar gerçekleştirecektir."