最近,Promon 發現了一種名為“Fjordphantom”的新型 Android 銀行惡意軟體。 他們發布了對移動惡意軟體的分析,並發布了乙份報告,該報告評估了可能容易受到惡意軟體攻擊的銀行應用程式樣本。 這兩個資源都為我們提供了有趣的見解,並揭示了值得討論的重要安全主題。
ProMon 分析討論了惡意軟體的傳播方式,並指出“fjordphantom 主要通過電子郵件、簡訊和訊息傳遞應用程式傳播。 系統會提示使用者輸入與其銀行自己的應用類似的應用。 實際上,該應用程式包含乙個用於真實銀行的 android 應用程式,但它在虛擬環境中執行,其中包含可以對應用程式進行攻擊的附加元件。 ”
關於在虛擬環境中執行,請記住這一點——這是我們很快就會回來的重要一點。
攻擊的下一階段涉及社會工程。 Promon的分析得出的結論是,“*,使用者會受到社會工程攻擊。 通常,呼叫中心的攻擊團隊支援此操作。 他們聲稱自己是銀行的客戶服務人員,指導客戶完成執行該應用程式的步驟。 該惡意軟體使攻擊者能夠跟蹤使用者的行為,導致他們執行交易或使用該過程竊取憑據。 他們可以使用這些憑據進行其他攻擊。 ”
我們這裡有兩種不同型別的社會工程。 第一種有利於安裝惡意軟體,而第二種有利於攻擊者通過執行交易和從受害者的銀行賬戶中竊取憑據來實施欺詐的目標。 為了理解它是如何工作的,我們需要回到在虛擬環境中操作的問題。
在 Android 上,有乙個安全功能不允許應用程式檢視來自其他應用程式的資訊,但有乙個例外。 例外情況是,當這些應用程式在同一虛擬環境中執行時,Fjordphantom 惡意軟體會利用這一點。 那麼為什麼 Android 允許這個功能呢?
Promon Analytics 解釋說:“虛擬化解決方案允許在虛擬容器中安裝和執行應用程式。 近年來,它們在 Android 上變得非常流行。 使用此類解決方案是有正當理由的,Google 也接受這些解決方案,因為其中許多應用都可以從 Google Play 商店**獲得。 使用這些解決方案的乙個常見原因是能夠多次安裝相同的應用程式以使用不同的帳戶登入它們。 這在 Android 上通常是不可能的。 ”
鑑於這一切,值得退後一步,在更高的層面上認識到這裡正在發生的事情。 首先,通過誘騙使用者**安裝惡意應用,攻擊者可以避免某些指示應用安裝不正確的“提示”。 其次,通過在虛擬環境中執行,惡意應用程式可以影響、操縱和竊取合法應用程式中的資料,而無需作業系統禁令。 第三,通過在下一階段的攻擊中使用帶外社交工程,攻擊者確保合法使用者和合法裝置是執行交易的人。 這允許攻擊者避免某些“告訴”,這些“告訴”銀行應用程式潛在的欺詐和/或濫用。
那麼,這對我們安全專業人員意味著什麼呢? 不幸的是,這意味著我們需要結合客戶端和伺服器端檢測的觀點,以便有最好的機會降低 fjordphantom 等移動惡意軟體的風險。 我們需要採取多管齊下的方法,以確保有最大的機會來捍衛我們的業務。 攻擊者不斷創新並尋找繞過我們防禦的方法,而防禦上的單點故障根本不是一種選擇。
此外,Promon 的研究和分析確定,在他們測試的 113 款全球頂級銀行應用程式中,有 80% 容易受到 fjordphantom 的攻擊。 不幸的是,這種惡意軟體逃避本機客戶端 Android 保護以及伺服器端保護的能力是許多企業的弱點。 移動應用保護無疑很重要。 但是,當它補充現有的應用程式保護和防禦以完善整體安全態勢時,它會更加強大。
與安全領域的許多主題一樣,縱深防禦提高了我們降低移動惡意軟體給企業帶來的風險的能力。 雖然在尋求降低給定風險時可能很想考慮乙個角度或一種方法,但從多個角度思考通常會為安全團隊和業務帶來更好的價值。 不過,值得注意的一點是,像峽灣幻影這樣的威脅可能會成為威脅格局的常規部分。