Android-вредонос FjordPhantom использует виртуализацию для ухода от детекта

Android-вредонос FjordPhantom использует виртуализацию для ухода от детекта

Android-вредонос FjordPhantom использует виртуализацию для ухода от детекта

Android-вредонос под именем FjordPhantom использует виртуализацию для запуска вредоносного кода в контейнере. С помощью этого трюка зловреду удаётся уходить от детектирования.

На FjordPhantom обратили внимание специалисты компании Promon. По их словам, в настоящее время операторы распространяют его через электронные письма, СМС и сообщения в мессенджерах.

Владельцы мобильных устройств на Android загружают вредонос под видом легитимных банковских приложений. На деле приложения настоящие, однако в довесок к ним идёт вредоносная составляющая.

Задача FjordPhantom — вытащить учётные данные жертвы от онлайн-банкинга и осуществлять мошеннические транзакции. В одном из примеров атаки зловреда Promon упоминает, что ему удалось украсть 280 тыс. долларов у одного из пользователей.

Как известно, в Android приложения могут запускаться в изолированной среде (контейнеры), что помогает, например, когда вам нужно запустить несколько копий программы с разными аккаунтами.

FjordPhantom задействует метод виртуализации, позаимствованный из проектов с открытым исходным кодом. Троян создаёт на устройстве виртуальный контейнер без ведома пользователей.

На этапе запуска вредонос устанавливает APK банковского софта, который изначально планировал загрузить пользователь. Далее идёт выполнение вредоносного кода внутри того же контейнера, что делает его частью легитимного процесса.

После этого FjordPhantom может внедрять свой код и перехватывать ключевые API, что позволяет фиксировать учётные данные, манипулировать транзакциями, просматривать конфиденциальную информацию и т. п.

Вход в компанию на теневом рынке стоит от 100 долларов

Доступ к инфраструктуре компаний на теневом рынке чаще всего продают за сумму от $100 до $10 000. Таким образом, вход в корпоративную сеть иногда стоит дешевле хорошего ноутбука, а последствия для бизнеса могут легко улететь в миллионы долларов.

К таким выводам пришли эксперты Positive Technologies, изучив рынки монетизации уязвимостей. Цена зависит от масштаба компании, её выручки и отрасли. Чем крупнее цель и жирнее потенциальная добыча, тем выше ценник.

Доступ к инфраструктуре госучреждений может доходить до $1,5 млн, а к финансовым организациям — до $1 млн. По числу объявлений на теневых форумах лидируют промышленность и торговля: на них приходится 20% и 19% сообщений соответственно.

 

Продают не только готовые доступы, но и уязвимости. Почти половина таких объявлений связана с 0-day, ещё 11% — с 1-day. Чаще всего речь идёт об удалённом выполнении кода и повышении привилегий. В переводе с технического: злоумышленник получает шанс захватить устройство, закрепиться и полезть дальше по сети.

Самые популярные цели — интернет-сервисы и корпоративное ПО. Первые дают вход снаружи, вторые часто открывают дорогу внутрь: к данным сотрудников, клиентов и другим системам компании.

По данным Positive Technologies, в 2025 году медианная выплата за критическую уязвимость в баг-баунти составила 200 тыс. рублей, а медианная стоимость участия в кибериспытаниях — 1 млн рублей.

Это несравнимо меньше, чем расходы после успешной атаки: простой, восстановление инфраструктуры, внешняя экспертиза, потеря выручки и репутационный удар.

Эксперты советуют компаниям не ждать, пока их доступ появится на форуме с красивым ценником. Баг-баунти помогает найти дыры на внешнем периметре, кибериспытания проверяют устойчивость к реальным сценариям атак, а Threat Intelligence заранее сигналит, если данные компании всплыли в даркнете.

RSS: Новости на портале Anti-Malware.ru