FjordPhantom được phát tán thông qua các ứng dụng, dịch vụ nhắn tin với hình thức tấn công kết hợp giữa mã độc ứng dụng và kỹ thuật Social engineering để lừa đảo người dùng.
Cụ thể hơn, người dùng sẽ được đối tượng tiếp cận qua email, SMS và ứng dụng nhắn tin rồi bị lừa tải xuống ứng dụng ngân hàng giả mạo.
Sau đó, đối tượng sẽ sử dụng kỹ thuật Social engineering tương tự như một cuộc tấn công định hướng qua điện thoại (TOAD), đây là một kỹ thuật khiến người dùng gọi tới các tổng đài giả mạo để được hướng dẫn cách thực thi ứng dụng ngân hàng đã tải xuống.
Một đặc điểm nổi bật của mã độc là việc sử dụng ảo hóa để thực thi các câu lệnh độc hại trong một khoang chứa nhằm tránh bị phát hiện. Biện pháp này giúp mã độc vượt qua lớp bảo vệ sandbox trên Android do nó cho phép nhiều ứng dụng chạy trên cùng một sandbox, qua đó giúp mã độc truy cập tới nơi chứa dữ liệu quan trọng mà không cần tới quyền truy cập root.
Ảnh minh họa
Các chuyên gia bảo mật cho biết giải pháp ảo hóa được sử dụng bởi mã độc cũng có thể chèn đoạn mã vào một ứng dụng do cơ chế hoạt động nạp câu lệnh của giải pháp lên một tiến trình trước khi nạp câu lệnh của ứng dụng.
Đối với mã độc FjordPhantom, ứng dụng được tải xuống có chứa một module độc hại và giải pháp ảo hóa có mục đích tải và cài đặt ứng dụng nhúng của ngân hàng đối tượng trong một môi trường ảo.
Hay nói cách khác, ứng dụng giả mạo được thiết kế để nạp ứng dụng chính thống của ngân hàng vào môi trường ảo, đồng thời triển khai một framework cho phép thay đổi hoạt động của API quan trọng nhằm thu thập thông tin quan trọng từ màn hình ứng dụng rồi đóng các cảnh báo về hoạt động độc hại đang diễn ra trên thiết bị của người dùng.
Google cho biết người dùng của họ luôn được bảo vệ bởi Google Play Protect thông qua các cảnh báo tới người dùng hoặc chặn ứng dụng có biểu hiện độc hại trên thiết bị Android với dịch vụ Google Play Services, kể cả khi các ứng dụng này được cài đặt qua các nguồn không phải là Google Play.