Investigadores de ciberseguridad han revelado un nuevo y sofisticado malware para Android llamado fiordofantasma Esto se ha observado dirigido a usuarios de países del sudeste asiático como Indonesia, Tailandia y Vietnam desde principios de septiembre de 2023.
“Se propaga principalmente a través de servicios de mensajería y combina malware basado en aplicaciones con ingeniería social para defraudar a los clientes bancarios”, dijo la empresa de seguridad de aplicaciones móviles Promon, con sede en Oslo. dicho en un análisis publicado el jueves.
Las cadenas de ataques, propagadas principalmente a través de correo electrónico, SMS y aplicaciones de mensajería, engañan a los destinatarios para que descarguen una supuesta aplicación bancaria que viene equipada con funciones legítimas pero que también incorpora componentes fraudulentos.
Luego, las víctimas son sometidas a una técnica de ingeniería social similar a la entrega de ataques orientados por teléfono (TOAD), que implica llamar a un centro de llamadas falso para recibir instrucciones paso a paso para ejecutar la aplicación.
Una característica clave del malware que lo diferencia de otros troyanos bancarios de su tipo es el uso de la virtualización para ejecutar código malicioso en un contenedor y pasar desapercibido.
El método astuto, dijo Promon, rompe las protecciones de la zona de pruebas de Android, ya que permite que diferentes aplicaciones se ejecuten en la misma zona de pruebas, lo que permite que el malware acceda a datos confidenciales sin necesidad de acceso de root.
“Las soluciones de virtualización como la utilizada por el malware también se pueden utilizar para inyectar código en una aplicación porque la solución de virtualización primero carga su propio código (y todo lo demás que se encuentra en su aplicación) en un nuevo proceso y luego carga el código del servidor alojado. aplicación”, dijo el investigador de seguridad Benjamin Adolphi.
En el caso de FjordPhantom, la aplicación host descargada incluye un módulo malicioso y el elemento de virtualización que luego se utiliza para instalar e iniciar la aplicación integrada del banco objetivo en un contenedor virtual.
En otras palabras, la aplicación falsa está diseñada para cargar la aplicación legítima del banco en un contenedor virtual y al mismo tiempo emplea un marco de enlace dentro del entorno para alterar el comportamiento de las API clave para capturar información confidencial de la pantalla de la aplicación mediante programación y cerrar los cuadros de diálogo utilizados para advertir actividad maliciosa en los dispositivos de los usuarios.
“El propio FjordPhantom está escrito de forma modular para atacar diferentes aplicaciones bancarias”, dijo Adolphi. “Dependiendo de qué aplicación bancaria esté integrada en el malware, realizará varios ataques contra estas aplicaciones”.
About the Author
