最近,Promon 发现了一种名为“Fjordphantom”的新型 Android 银行恶意软件。 他们发布了对移动恶意软件的分析,并发布了一份报告,该报告评估了可能容易受到恶意软件攻击的银行应用程序样本。 这两个资源都为我们提供了有趣的见解,并揭示了值得讨论的重要安全主题。
ProMon 分析讨论了恶意软件的传播方式,并指出“fjordphantom 主要通过电子邮件、短信和消息传递应用程序传播。 系统会提示用户输入与其银行自己的应用类似的应用。 实际上,该应用程序包含一个用于真实银行的 android 应用程序,但它在虚拟环境中运行,其中包含可以对应用程序进行攻击的附加组件。 ”
关于在虚拟环境中运行,请记住这一点——这是我们很快就会回来的重要一点。
攻击的下一阶段涉及社会工程。 Promon的分析得出的结论是,“*,用户会受到社会工程攻击。 通常,呼叫中心的攻击团队支持此操作。 他们声称自己是银行的客户服务人员,指导客户完成运行该应用程序的步骤。 该恶意软件使攻击者能够跟踪用户的行为,导致他们执行交易或使用该过程窃取凭据。 他们可以使用这些凭据进行其他攻击。 ”
我们这里有两种不同类型的社会工程。 第一种有利于安装恶意软件,而第二种有利于攻击者通过执行交易和从受害者的银行账户中窃取凭据来实施欺诈的目标。 为了理解它是如何工作的,我们需要回到在虚拟环境中操作的问题。
在 Android 上,有一个安全功能不允许应用程序查看来自其他应用程序的信息,但有一个例外。 例外情况是,当这些应用程序在同一虚拟环境中运行时,Fjordphantom 恶意软件会利用这一点。 那么为什么 Android 允许这个功能呢?
Promon Analytics 解释说:“虚拟化解决方案允许在虚拟容器中安装和运行应用程序。 近年来,它们在 Android 上变得非常流行。 使用此类解决方案是有正当理由的,Google 也接受这些解决方案,因为其中许多应用都可以从 Google Play 商店**获得。 使用这些解决方案的一个常见原因是能够多次安装相同的应用程序以使用不同的帐户登录它们。 这在 Android 上通常是不可能的。 ”
鉴于这一切,值得退后一步,在更高的层面上认识到这里正在发生的事情。 首先,通过诱骗用户**安装恶意应用,攻击者可以避免某些指示应用安装不正确的“提示”。 其次,通过在虚拟环境中运行,恶意应用程序可以影响、操纵和窃取合法应用程序中的数据,而无需操作系统禁令。 第三,通过在下一阶段的攻击中使用带外社交工程,攻击者确保合法用户和合法设备是执行交易的人。 这允许攻击者避免某些“告诉”,这些“告诉”银行应用程序潜在的欺诈和/或滥用。
那么,这对我们安全专业人员意味着什么呢? 不幸的是,这意味着我们需要结合客户端和服务器端检测的观点,以便有最好的机会降低 fjordphantom 等移动恶意软件的风险。 我们需要采取多管齐下的方法,以确保有最大的机会来捍卫我们的业务。 攻击者不断创新并寻找绕过我们防御的方法,而防御上的单点故障根本不是一种选择。
此外,Promon 的研究和分析确定,在他们测试的 113 款全球顶级银行应用程序中,有 80% 容易受到 fjordphantom 的攻击。 不幸的是,这种恶意软件逃避本机客户端 Android 保护以及服务器端保护的能力是许多企业的弱点。 移动应用保护无疑很重要。 但是,当它补充现有的应用程序保护和防御以完善整体安全态势时,它会更加强大。
与安全领域的许多主题一样,纵深防御提高了我们降低移动恶意软件给企业带来的风险的能力。 虽然在寻求降低给定风险时可能很想考虑一个角度或一种方法,但从多个角度思考通常会为安全团队和业务带来更好的价值。 不过,值得注意的一点是,像峡湾幻影这样的威胁可能会成为威胁格局的常规部分。