Promon discovers FjordPhantom,
Android banking malware
Promonのセキュリティ調査チームは2023年9月初旬、インドネシア、タイ、ベトナムを中心に東南アジア地域で新しい
Android 向けの
マルウェア が蔓延しているとの報告を受けたという。この地域の銀行との協議の中で、顧客の1人が1000万タイバーツドル(約28万ドル)をだまし取られたことが確認されている。Promonは顧客の
Android デバイスから
マルウェア (後にFjordPhantomと命名)のサンプルを取得して分析している。
Promonによると、脅威アクターは主に電子メール、ショートメッセージサービス(SMS: Short Message Service)、メッセージングアプリなどを通じて銀行アプリに偽装したこの
マルウェア のダウンロードを要求するという。
マルウェア がダウンロードされると、脅威アクターは銀行のカスタマーサービスになりすまし、
マルウェア の実行手順を案内するとされる。この
マルウェア には本当の銀行アプリが含まれており、銀行アプリへの攻撃を可能とする追加コンポーネントを備えた仮想環境の中で銀行アプリを実行する仕組みになっている。
FjordPhantomの仕組み 引用:Promon
脅威アクターが仮想環境を利用した理由は、
Android のサンドボックス環境を破るためと考えられている。通常、
Android 上で動作するアプリはサンドボックス環境で分離実行されるため、ほかのアプリからの影響を受けることはない。今回、脅威アクターは仮想環境内で銀行アプリを動作させることにより、このサンドボックスの制限を回避し、銀行アプリへの侵害を可能にしたものとみられる。
標的となった銀行アプリには攻撃を検出する機能があるとされるが、
マルウェア は仮想環境を使用することでAPIをフックし、銀行アプリに偽の情報を応答する。このため、銀行アプリは異常を検出できず、
マルウェア は銀行アプリの画面から機密情報を窃取することが可能と見られる。また、銀行アプリが潜在的な異常を検出してユーザーに通知を試みても、通知をフックして自動で閉じてしまうため、ユーザーは異常の通知を確認することができないという。
Promonはこのような攻撃からデバイスを保護するため、適切なセキュリテイソリューションの導入を推奨している。 また、この
マルウェア は配布の際にソーシャルエンジニアリング攻撃を使用してユーザーに
マルウェア をインストールさせている。このような攻撃を回避するために、
Android を利用するユーザーには公式ストア以外からアプリをインストールしないようにすることが推奨されている。