FjordPhantom 恶意软件显示多样化防御的重要性

最近，Promon 发现了一种新的 Android 银行恶意软件，名为“FjordPhantom”。他们发布了对移动恶意软件的分析和一份评估可能容易受到该恶意软件攻击的在线银行应用程序样本的报告。这两个资源都为我们提供了有趣的见解，并揭示了值得讨论的重要安全主题。

Promon 分析讨论了恶意软件的传播方式，并指出“FjordPhantom 主要通过电子邮件、短信和消息应用程序传播。系统会提示用户下载一个类似于其银行自己的应用程序的应用程序。实际上，下载的应用程序包含真实银行的 Android 应用程序，但它是在虚拟环境中运行的，并带有可对应用程序进行攻击的附加组件。”

请记住关于在虚拟环境中运行的这一点 - 这是我们很快就会回到的重要一点。

攻击的下一阶段涉及社会工程。Promon 分析认为，“下载后，用户会受到社交工程攻击。通常，这由呼叫中心的攻击团队提供支持。他们声称是银行的客户服务人员，指导客户完成运行应用程序的步骤。该恶意软件使攻击者能够跟踪用户的操作，从而引导用户执行交易或使用该过程窃取凭据。他们可以使用这些凭据进行额外的攻击。”

我们这里有两种不同类型的社会工程。第一个有利于恶意软件的安装，而第二个有利于攻击者的目标，即通过执行从受害者银行账户窃取资金的交易和/或窃取凭证来实施欺诈。为了理解它是如何工作的，我们需要回到在虚拟环境中运行的问题。

在 Android 上，有一项安全功能不允许应用程序查看其他应用程序的信息，但有一个例外。例外情况是当这些应用程序在同一虚拟环境中运行时——FjordPhantom 恶意软件就会利用这一点。那么为什么Android允许这个功能呢？

Promon 分析解释说：“虚拟化解决方案允许在虚拟容器中安装和运行应用程序。近年来，它们在 Android 上变得非常流行。使用此类解决方案有正当理由，并且 Google 接受它们，因为其中许多应用程序可以从 Google Play 商店下载。使用这些解决方案的一个常见原因是能够多次安装同一应用程序以使用不同的帐户登录它们。这在 Android 上通常是不可能实现的。”

鉴于这一切，值得退后一步并在更高层面上认识到这里正在发生的事情。首先，通过诱骗用户下载并安装恶意应用程序，攻击者可以避免某些表明应用程序安装方式不正确的“提示”。其次，通过在虚拟环境中运行，恶意应用程序可以影响、操纵和窃取合法应用程序的数据，而无需操作系统禁止。第三，通过在下一阶段的攻击中使用带外社会工程，攻击者确保合法用户和合法设备是执行交易的人。这使得攻击者可以避免某些“告诉”，这些“告诉”会告诉在线银行应用程序存在潜在的欺诈和/或滥用行为。

那么这对于我们安全专业人员来说意味着什么呢？不幸的是，对我们来说，这意味着我们需要结合客户端和服务器端检测的角度，以便有最好的机会减轻 FjordPhantom 等移动恶意软件的风险。我们需要采取多管齐下的方法来确保捍卫我们业务的最大机会。攻击者不断创新并寻找绕过我们防御的方法，防御上的单点故障根本不是一种选择。

此外，Promon 的研究和分析确定，他们测试的 113 个全球顶级银行应用程序中有 80% 容易受到 FjordPhantom 的攻击。不幸的是，这种恶意软件逃避本机客户端 Android 保护以及服务器端保护的能力是许多企业的弱点。移动应用程序保护无疑很重要。但当它补充/增强现有的应用程序保护和防御以完善整体安全状况时，它的功能就会强大得多。

与安全领域的许多主题一样，深度防御提高了我们减轻移动恶意软件给企业带来的风险的能力。虽然在寻求减轻给定风险时考虑一种角度或一种方法可能很诱人，但从多个角度考虑通常会给安全团队和企业带来更好的价值。不过，值得注意的一件事是，像 FjordPhantom 这样的威胁可能会成为威胁格局的常规组成部分。

原文始发于微信公众号（祺印说信安）：FjordPhantom 恶意软件显示多样化防御的重要性