Des chercheurs en cybersécurité ont découvert un nouveau malware Android sophistiqué appelé FjordPhantom cela a été observé ciblant les utilisateurs des pays d’Asie du Sud-Est comme l’Indonésie, la Thaïlande et le Vietnam depuis début septembre 2023.
« Se propageant principalement via les services de messagerie, il combine des logiciels malveillants basés sur des applications et de l’ingénierie sociale pour frauder les clients des banques », a déclaré Promon, société de sécurité des applications mobiles basée à Oslo. dit dans une analyse publiée jeudi.
Se propageant principalement via les e-mails, les SMS et les applications de messagerie, les chaînes d’attaque incitent les destinataires à télécharger une prétendue application bancaire dotée de fonctionnalités légitimes, mais intégrant également des composants malveillants.
Les victimes sont ensuite soumises à une technique d’ingénierie sociale semblable à la livraison d’attaques orientées téléphone (TOAD), qui consiste à appeler un faux centre d’appels pour recevoir des instructions étape par étape pour exécuter l’application.
Une caractéristique clé du malware qui le distingue des autres chevaux de Troie bancaires de ce type est l’utilisation de la virtualisation pour exécuter du code malveillant dans un conteneur et passer inaperçu.
Selon Promon, cette méthode sournoise brise les protections du bac à sable d’Android car elle permet à différentes applications d’être exécutées sur le même bac à sable, permettant ainsi au malware d’accéder à des données sensibles sans nécessiter un accès root.
« Les solutions de virtualisation comme celle utilisée par le malware peuvent également être utilisées pour injecter du code dans une application car la solution de virtualisation charge d’abord son propre code (et tout le reste trouvé dans son application) dans un nouveau processus, puis charge le code de l’application hébergée. application », a déclaré le chercheur en sécurité Benjamin Adolphi.
Dans le cas de FjordPhantom, l’application hôte téléchargée inclut un module malveillant et l’élément de virtualisation qui est ensuite utilisé pour installer et lancer l’application embarquée de la banque ciblée dans un conteneur virtuel.
En d’autres termes, la fausse application est conçue pour charger l’application légitime de la banque dans un conteneur virtuel tout en utilisant également un cadre de hooking au sein de l’environnement pour modifier le comportement des API clés afin de récupérer les informations sensibles de l’écran de l’application par programme et de fermer les boîtes de dialogue utilisées pour avertir les activités malveillantes sur les appareils des utilisateurs.
« FjordPhantom lui-même est écrit de manière modulaire pour attaquer différentes applications bancaires », a déclaré Adolphi. « En fonction de l’application bancaire intégrée au malware, celui-ci effectuera diverses attaques sur ces applications. »