Android-вредонос FjordPhantom использует виртуализацию для ухода от детекта

Android-вредонос FjordPhantom использует виртуализацию для ухода от детекта

Android-вредонос FjordPhantom использует виртуализацию для ухода от детекта

Android-вредонос под именем FjordPhantom использует виртуализацию для запуска вредоносного кода в контейнере. С помощью этого трюка зловреду удаётся уходить от детектирования.

На FjordPhantom обратили внимание специалисты компании Promon. По их словам, в настоящее время операторы распространяют его через электронные письма, СМС и сообщения в мессенджерах.

Владельцы мобильных устройств на Android загружают вредонос под видом легитимных банковских приложений. На деле приложения настоящие, однако в довесок к ним идёт вредоносная составляющая.

Задача FjordPhantom — вытащить учётные данные жертвы от онлайн-банкинга и осуществлять мошеннические транзакции. В одном из примеров атаки зловреда Promon упоминает, что ему удалось украсть 280 тыс. долларов у одного из пользователей.

Как известно, в Android приложения могут запускаться в изолированной среде (контейнеры), что помогает, например, когда вам нужно запустить несколько копий программы с разными аккаунтами.

FjordPhantom задействует метод виртуализации, позаимствованный из проектов с открытым исходным кодом. Троян создаёт на устройстве виртуальный контейнер без ведома пользователей.

На этапе запуска вредонос устанавливает APK банковского софта, который изначально планировал загрузить пользователь. Далее идёт выполнение вредоносного кода внутри того же контейнера, что делает его частью легитимного процесса.

После этого FjordPhantom может внедрять свой код и перехватывать ключевые API, что позволяет фиксировать учётные данные, манипулировать транзакциями, просматривать конфиденциальную информацию и т. п.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Kaspersky NGFW внесён в реестр программно-аппаратных комплексов Минцифры

Межсетевой экран нового поколения Kaspersky NGFW официально зарегистрирован в реестре программно-аппаратных комплексов Минцифры. Запись № 29350 от 20 августа 2025 года включает все четыре аппаратные модели — KX-100, KX-400, KX-1000 и KX-3500.

О регистрации объявили на форуме Kazan Digital Week 2025.

Линейка KX (Kaspersky Extension) — это российские сетевые платформы, на которых работает решение NGFW. Помимо «железа», существует и виртуальная версия — vKX.

Продукты рассчитаны на разные масштабы инфраструктуры: от небольших офисов до крупных компаний.

Регистрация в реестре подтверждает, что платформы имеют российское происхождение и соответствуют требованиям регулятора. Сейчас Kaspersky NGFW также проходит сертификацию ФСТЭК и регистрацию в реестре Минпромторга.

Напомним, на Kazan Digital Week 2025 «Лаборатория Касперского» и Kraftway представили новый рабочий прототип шлюза безопасности. Его ключевая особенность — использование российской электронной компонентной базы, чего не было в предыдущей версии.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru