O malware FjordPhantom para Android usa virtualização para evitar detecção
1 de Dezembro de 2023

Um novo malware para Android chamado FjordPhantom foi descoberto, usando virtualização para executar código malicioso em um contêiner e evitar detecção.

O malware foi descoberto pela Promon, cujos analistas relatam que atualmente ele se dispersa por meio de e-mails, SMS e aplicativos de mensagens, visando aplicativos de bancos na Indonésia, Tailândia, Vietnã, Singapura e Malásia.

As vítimas são enganadas para fazer download do que parecem ser aplicativos de banco legítimos, mas que contêm código malicioso executando em um ambiente virtual para atacar o verdadeiro aplicativo bancário.

FjordPhantom visa roubar credenciais de conta bancária online e manipular transações, executando fraudes no dispositivo.

O relatório da Promon destaca um caso do FjordPhantom roubando $280,000 de uma única vítima, tornando possível combinar a natureza evasiva do malware com engenharia social, como ligações supostamente de agentes de atendimento ao cliente do banco.

No Android, vários aplicativos podem ser executados em ambientes isolados conhecidos como "contêineres" por razões legítimas, tais como executar várias instâncias do mesmo aplicativo usando contas diferentes.

FjordPhantom incorpora uma solução de virtualização de projetos de código aberto para criar um contêiner virtual no dispositivo sem o conhecimento do usuário.

Ao ser lançado, o malware instala o APK do aplicativo bancário que o usuário pretendia baixar e executa código malicioso dentro do mesmo contêiner, tornando-se parte do processo confiável.

Com o aplicativo bancário rodando dentro de seu contêiner virtual, FjordPhantom consegue injetar seu código para enganchar APIs chave que permitem capturar credenciais, manipular transações, interceptar informações sensíveis, etc.

Em alguns aplicativos, o framework de engate do malware também manipula elementos da interface do usuário para fechar automaticamente diálogos de aviso e manter a vítima inconsciente do comprometimento.

Promon observa que este truque de virtualização quebra o conceito de segurança 'Sandbox Android', que impede que os aplicativos acessem os dados uns dos outros ou interfiram em suas operações, já que os aplicativos dentro de um contêiner compartilham o mesmo sandbox.

Esse é um ataque particularmente astuto porque o aplicativo bancário propriamente dito não é modificado, então a detecção de adulteração de código não ajuda a pegar a ameaça.

Além disso, ao enganchar APIs relacionadas ao GooglePlayServices, para fazê-los parecer indisponíveis no dispositivo, FjordPhantom dificulta as verificações de segurança relacionadas ao root.

Os engates do malware se estendem até mesmo ao registro, potencialmente fornecendo dicas aos desenvolvedores para realizar ataques mais direcionados em diferentes aplicativos.

Promon comenta que isso é um sinal de desenvolvimento ativo, elevando o risco de FjordPhantom expandir seu foco de ataque além dos países mencionados em lançamentos futuros.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...