セキュリティ研究者らは、FjordPhantomとして知られる新たなAndroidマルウェアを発見した。これは、捉えどころのない性質と、密かに拡散する戦術で注目されている。
このマルウェアは当初、9月上旬に東南アジア、とりわけインドネシア、タイ、ベトナムで報告され、シンガポールおよびマレーシアでも活動している可能性がある。アプリを用いた手口とソーシャルエンジニアリングを組み合わせ、銀行の顧客を標的にしている。
本日公開された勧告で、Promonのセキュリティリサーチチームは、影響を受けた顧客からサンプルを受け取ったと述べた。チームはまた、あるFjordPhantom攻撃により1,000万タイバーツ(執筆時点で約28万ドル)という多額の損失が発生したことも把握した。
技術的観点から見ると、このマルウェアは主にメール、SMS、メッセージングアプリを通じて拡散し、ユーザーに銀行の正規アプリに見えるものをダウンロードするよう促す。
Androidマルウェアに関する記事を読む:「FakeCalls」Androidマルウェアが韓国の金融機関を標的に
ダウンロード後、ソーシャルエンジニアリング攻撃が開始され、しばしばコールセンターの支援を受けながら、ユーザーにアプリの実行手順を案内する。これにより攻撃者はユーザーの操作を監視でき、取引を誘導したり認証情報を盗んだりする可能性がある。
このマルウェアの際立った特徴は、仮想化の利用にある。GitHubのオープンソースコードを活用して仮想化ソリューションとフック(hook)フレームワークを組み込み、アプリを仮想コンテナ内に読み込むことでAndroidのサンドボックスを破り、異なるアプリ同士が互いのファイルやメモリにアクセスできるようにする。この手法は従来のroot権限取得の要件を回避し、攻撃を容易にするとともに、root検知の対策もすり抜ける。
FjordPhantomは標的とする特定の銀行アプリのAPKを埋め込み、ユーザーに気付かれないまま仮想コンテナ内で起動する。この方法により、マルウェアは自身のコードやフックフレームワークを含む追加コードを注入でき、さまざまな銀行アプリに対するモジュール型の攻撃に合わせて調整できる。
このマルウェアの高度な巧妙性は、フックフレームワークを用いてアクセシビリティサービス、GooglePlayServices、UI機能を操作し、検知手法を回避しつつさらなる攻撃を可能にしている点からも明らかだ。
この脅威に対処するため、Promonはエンドユーザーに対し、信頼できない提供元や主要なアプリストア以外からアプリをダウンロードする際は注意するよう呼びかけた。
翻訳元: https://www.infosecurity-magazine.com/news/fjordphantom-malware-targets-banks/
