Un nuovo malware Android chiamato FjordPhantom è stato scoperto mentre utilizza la virtualizzazione per eseguire codice malevolo in un contenitore e sfuggire al rilevamento. Il malware, scoperto da Promon, si diffonde attualmente tramite email, SMS e app di messaggistica, prendendo di mira app bancarie in Indonesia, Thailandia, Vietnam, Singapore e Malesia.
Modalità di attacco e obiettivi
Le vittime vengono ingannate nel scaricare quelle che sembrano essere app bancarie legittime, ma contengono codice malevolo che opera in un ambiente virtuale per attaccare la vera app bancaria. FjordPhantom mira a rubare le credenziali degli account bancari online e manipolare le transazioni eseguendo frodi direttamente sul dispositivo. Un caso evidenziato nel rapporto di Promon mostra FjordPhantom che ruba $280.000 da una singola vittima, combinando la natura evasiva del malware con l’ingegneria sociale, come chiamate presumibilmente dagli agenti del servizio clienti delle banche.
Virtualizzazione come evasione su Android
Su Android, più app possono essere eseguite in ambienti isolati noti come “contenitori” per motivi legittimi, come l’esecuzione di più istanze della stessa app utilizzando account diversi. FjordPhantom incorpora una soluzione di virtualizzazione da progetti open-source per creare un contenitore virtuale sul dispositivo senza che l’utente lo sappia. Al lancio, il malware installa l’APK dell’app bancaria che l’utente intendeva scaricare ed esegue codice malevolo all’interno dello stesso contenitore, rendendolo parte del processo fidato.
Iniezione di Codice e manipolazione delle Transazioni
Con l’app bancaria in esecuzione all’interno del suo contenitore virtuale, FjordPhantom può iniettare il suo codice per agganciare API chiave che gli permettono di catturare credenziali, manipolare transazioni, intercettare informazioni sensibili, ecc. In alcune app, il framework di agganciamento del malware manipola anche elementi dell’interfaccia utente per chiudere automaticamente i dialoghi di avviso e mantenere la vittima all’oscuro del compromesso.
Rompere ‘Sandbox di Android’ e rischio di espansione
Promon osserva che questo trucco di virtualizzazione rompe il concetto di sicurezza del ‘Sandbox di Android’, che impedisce alle app di accedere ai dati l’una dell’altra o interferire con le loro operazioni, poiché le app all’interno di un contenitore condividono lo stesso sandbox. Questo è un attacco particolarmente subdolo perché l’app bancaria stessa non viene modificata, quindi il rilevamento della manipolazione del codice non aiuta a catturare la minaccia.