Malware FjordPhantom infetta Android tramite la virtualizzazione

I ricercatori della società di sicurezza Promon hanno scoperto un nuovo malware Android denominato FjordPhantom. Quest'ultimo sfrutta la virtualizzazione per eseguire codice dannoso in un contenitore ed eludere il rilevamento. Gli analisti di Promon hanno riferito che attualmente questo malware si diffonde tramite e-mail, SMS e app di messaggistica. I principali bersagli sono le app bancarie in Indonesia, Tailandia, Vietnam, Singapore e Malesia. Le vittime vengono indotte con l'inganno a scaricare quelle che apparentemente sembrano app bancarie legittime. In realtà esse contengono codice dannoso in esecuzione in un ambiente virtuale per attaccare l'app bancaria reale. FjordPhantom mira a rubare le credenziali dei conti bancari online e manipolare le transazioni, eseguendo frodi sul dispositivo.

FjordPhantom: come funziona l’attacco del malware Android

Come già accennato, FjordPhantom finge di essere l'app ufficiale della banca, anche se funziona in un ambiente virtuale con altri componenti che gli permettono di attaccare la vittima e rubarle i soldi dal conto. Nel report diffuso di Promon viene anche citato un caso in FjordPhantom è riuscito addirittura a rubare 280.000 dollari a una singola vittima. Ciò è stato possibile combinando la natura evasiva del malware con l'ingegneria sociale. Quando viene lanciato, il malware installa l'APK dell'app bancaria che l'utente intendeva scaricare ed esegue codice dannoso all'interno dello stesso contenitore, rendendolo parte del processo affidabile. Con l'app bancaria in esecuzione all'interno del suo contenitore virtuale, FjordPhantom può iniettare il suo codice dannoso per agganciare le API chiave che gli consentono di acquisire credenziali, manipolare transazioni, intercettare informazioni sensibili, ecc.

In alcune app, il framework di hooking del malware manipola anche gli elementi dell'interfaccia utente. Ciò consente di chiudere automaticamente le finestre di dialogo di avviso e mantenere la vittima all'oscuro della compromissione. Si tratta di un attacco particolarmente subdolo perché l'app bancaria stessa non viene modificata. In questo modo il rilevamento della manomissione del codice non permette di scovare la minaccia. Inoltre, agganciando le API relative al Google Play Services per farle apparire non disponibili sul dispositivo, FjordPhantom impedisce anche i controlli di sicurezza relativi al root. Per evitare questo tipo di attacchi è importante evitare di scaricare app da siti sospetti (soprattutto app bancarie), ma di usare soltanto il Google Play.