Android-вредонос FjordPhantom использует виртуализацию для ухода от детекта

Android-вредонос FjordPhantom использует виртуализацию для ухода от детекта

Android-вредонос под именем FjordPhantom использует виртуализацию для запуска вредоносного кода в контейнере. С помощью этого трюка зловреду удаётся уходить от детектирования.

На FjordPhantom обратили внимание специалисты компании Promon. По их словам, в настоящее время операторы распространяют его через электронные письма, СМС и сообщения в мессенджерах.

Владельцы мобильных устройств на Android загружают вредонос под видом легитимных банковских приложений. На деле приложения настоящие, однако в довесок к ним идёт вредоносная составляющая.

Задача FjordPhantom — вытащить учётные данные жертвы от онлайн-банкинга и осуществлять мошеннические транзакции. В одном из примеров атаки зловреда Promon упоминает, что ему удалось украсть 280 тыс. долларов у одного из пользователей.

Как известно, в Android приложения могут запускаться в изолированной среде (контейнеры), что помогает, например, когда вам нужно запустить несколько копий программы с разными аккаунтами.

FjordPhantom задействует метод виртуализации, позаимствованный из проектов с открытым исходным кодом. Троян создаёт на устройстве виртуальный контейнер без ведома пользователей.

На этапе запуска вредонос устанавливает APK банковского софта, который изначально планировал загрузить пользователь. Далее идёт выполнение вредоносного кода внутри того же контейнера, что делает его частью легитимного процесса.

После этого FjordPhantom может внедрять свой код и перехватывать ключевые API, что позволяет фиксировать учётные данные, манипулировать транзакциями, просматривать конфиденциальную информацию и т. п.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Microsoft отложила релиз Windows Recall из-за вопросов к конфиденциальности

Microsoft решила отложить выход ИИ-функции Windows Recall, чтобы дополнительно проверить и, если понадобится, устранить проблемы с конфиденциальностью.

В мае техногигант из Редмонда показал новую функциональность на базе искусственного интеллекта — «Recall». Интересно, что она записывает абсолютно всё, что пользователи видят и делают на своих устройствах.

Более того, в начале этого месяца в общий доступ выложили код инструмента TotalRecall, позволяющего автоматизировать кражу конфиденциальных данных из баз Recall.

После справедливых претензий и вопросов, которые возникли у пользователей к Microsoft, корпорация опубликовала новую запись в блоге:

«Мы сдвинем выход Recall с предварительной версии, доступной для поддерживающих Copilot+ устройств с 18 июня 2024 года, на превью-релиз Windows Insider Program (WIP), который ожидается в ближайшие недели».

«После получения обратной связи от сообщества Windows Insider мы планируем в ближайшее время сделать предварительную версию Recall доступной для всех компьютеров с Copilot+».

Интересно, что реакция Microsoft совпала с выходом критики от аналитиков ProPublica, которые заявили, что корпорация ставит доход выше безопасности пользователей.

В сущности, Windows Recall каждые несколько секунд снимает скриншоты любого активного окна, далее ИИ вычленяет и анализирует информацию на этих скриншотах и записывает её в специальную БД SQLite.

По замыслу разработчиков, эта функциональность должна помочь пользователям восстанавливать события и данные.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru