مجرمان سایبری همیشه راه حل جدیدی برای نفوذ به دستگاه های هوشمند پیدا می کنند. این بار، خطر از سوی یک بدافزار جدید اندرویدی به نام FjordPhantom رخ داده است.
طبق گزارش های فن تک؛ شرکت امنیت سایبری Promon به تازگی موفق شد باج افزار جدیدی به نام FjordPhantom را شناسایی کند. این باج افزار از استراتژی استفاده می کند که معمولا در بدافزارهای قبلی دیده نشد. به همین علت، تشخیص به موقع آن می تواند از آسیب جدی جلوگیری کند. کارشناسان امنیت سایبری تخمین می زنند این بدافزار توانست تا امروز دستگاه های اندرویدی زیادی را در کشورهای آسیایی مانند اندونزی، تایلند، ویتنام، سنگاپور و مالزی آلوده کند. تنها از یکی از کاربران ساکن در تایلند حدود 10 میلیون بات تایلند یا حدود 280000 دلار کلاهبرداری شد.
مهاجمان سایبری ابتدا حمله را با ارسال یک ایمیل به دستگاه قربانی در پوشش یک برنامه پرداخت بانکی کاملا قانونی انجام می دهند. پس از بارگیری برنامه توسط قرانی، یک برنامه مخفی در پس زمینه اجرا می شود نا به هکرها اجازه دسترسی به دستگاه را بدهد. در نهایت بوسیله این برنامه، کدهایی اجرا می شوند که به هکر اجازه می دهد کارهایی مانند بارگیری برنامه ای مانند پرداخت بانکی را دو بار انجام دهند. به عبارت دیگر، دو کاربر می توانند از یک دستگاه به صورت مشترک استفاده کنند.
این بدافزار از یک چارچوب مشخص برای ردیابی اقدامات قربانیان استفاده می کند. Hooking روشی است که معمولا برای تغییر عملکرد برنامه ها یا سیستم عامل ها استفاده می شود. اما، این حمله به یک عامل دیگر از دنیای واقعی نیز نیاز دارد؟ معمولا پس از دانلود برنامه، مجرمان سایبری با قربانی تماس می گیرند و خود را به عنوان نماینده پشتیبانی بانک مورد نظر معرفی می کنند و به بهانه این که قصد دارند نحوه کار با برنامه را به آنها آموزش دهند، به اطلاعات قربانیان دسترسی پیدا می کنند. این نوع حملات سایبری در واقع به حملات فیشینگ معروف هستند. در این گونه حملات از تکنیک مهندسی اجتماعی برای حمله استفاده می شود. قربانی کافی است یک بار تراکنش مالی خود را انجام دهد تا هکر بتواند به تمام اطلاعات کارت بانکی آنها دسترسی پیدا کند.
هکرها از یک محیط مجازی برای اجرای برنامه های خود استفاده می کنند. محیط مجازی یک فضای جداگانه از سیستم عامل اصلی است که برنامه ها در آن اجرا می شوند. این امر به برنامه ها اجازه می دهد تا از دیوار امنیتی اندروید عبور کنند، که یک ویژگی امنیتی است که کد و داده های برنامه را از سایر برنامه ها و سیستم جدا می کند. نصب برنامه ها در یک محیط مجازی چندین مزیت دارد:
امنیت: اگر یک برنامه مخرب باشد، نمی تواند برنامه های دیگر یا سیستم اصلی را دستکاری کند. این به این دلیل است که برنامه مخرب فقط می تواند به فایل ها و کدهای خود دسترسی داشته باشد.
قابلیت اطمینان: محیط مجازی می تواند به محافظت از برنامه ها در برابر خرابی های سیستم کمک کند. اگر سیستم عامل اصلی خراب شود، برنامه های نصب شده در محیط مجازی همچنان می توانند اجرا شوند.
انعطاف پذیری: محیط مجازی می تواند به برنامه ها اجازه دهد تا ویژگی هایی را ارائه دهند که در سیستم عامل اصلی امکان پذیر نیست. به عنوان مثال، یک برنامه ممکن است بتواند از منابع سخت افزاری بیشتری استفاده کند یا از ویژگی های امنیتی بیشتری بهره مند شود.
بنابراین؛ از آنجایی که برنامه FjordPhantom در یک محیط مجازی نصب شده است، می تواند از دیوار امنیتی اندروید یا همان سندباکس عبور کند. ویژگی سندباکس ویژگی امنیتی در سیستم عامل اندروید کد و داده های برنامه ها را از سایر برنامه ها و سیستم جدا می کند. این امر به محافظت از دستگاه در برابر برنامه های مخرب کمک می کند. بدون سندباکس، برنامه ها می توانند به فایل های یکدیگر دسترسی داشته باشند و کد را به یکدیگر تزریق کنند. علاوه براین، نیاز دسترسی به فایل root را از بین می برد و از شناسایی ریشه جلوگیری می کند.
این تاکتیکها به FjordPhantom اجازه میدهد بدون شناسایی شدن، حمله کنند. آنها با استفاده از قالب hooking، سیستم اعلان هشدار سیستم عامل اندروید را هنگام سرقت اطلاعات حساس باز میدارد. شرکت پرومون معتقد است که باج افزار FjordPhantom همچنان به تکثیر خود ادامه خواهد داد. تنها راه محافظت از دستگاه های اندرویدی این است که برنامه ها را فقط از فروشگاه های معتبر تهیه و نصب کنید. علاوه براین، از ارائه اطلاعات حساس به افرادی که با تماس تلفنی خود را نماینده بانک معرفی می کنند، خودداری کنید. به یاد داشته باشید، یک بانک هیچ وقت چنین اطلاعاتی را از طریق تماس تلفنی درخواست نمی کند.