FjordPhantom Mobile Malware verbirgt sich hinter der Virtualisierung

Sicherheitsforscher haben die Existenz einer kürzlich identifizierten und hochentwickelten Android-Malware namens FjordPhantom aufgedeckt, die seit Anfang September 2023 aktiv auf Personen in südostasiatischen Ländern wie Indonesien, Thailand und Vietnam abzielt.

Laut einer von Promon, einem in Schweden ansässigen Unternehmen für die Sicherheit mobiler Apps, veröffentlichten Analyse verbreitet sich die Malware hauptsächlich über Messaging-Dienste und nutzt dabei eine Kombination aus App-basierter Malware und Social-Engineering-Techniken, um Benutzer zum Herunterladen betrügerischer Bankanwendungen zu verleiten. Zu den Angriffsvektoren gehören E-Mail-, SMS- und Messaging-Apps, wobei Opfer dazu verleitet werden, eine scheinbar legitime Banking-App herunterzuladen, die in Wirklichkeit jedoch bösartige Komponenten enthält.

FjordPhantom entgeht der Erkennung durch Virtualisierung

Das besondere Merkmal der Malware, das sie von anderen Banking-Trojanern unterscheidet, ist die Nutzung der Virtualisierung, um Schadcode innerhalb eines Containers auszuführen und so der Erkennung zu entgehen. Diese Methode umgeht den Sandbox-Schutz von Android, indem sie die Ausführung mehrerer Apps in derselben Sandbox ermöglicht und so den Zugriff auf vertrauliche Daten erleichtert, ohne dass Root-Zugriff erforderlich ist.

Promon erklärt, dass die von FjordPhantom verwendete Virtualisierungstechnik Code in eine Anwendung einschleusen kann, indem der eigene Code in einen neuen Prozess geladen wird, bevor der Code der gehosteten Anwendung geladen wird. Im Fall von FjordPhantom lädt die Host-App zusammen mit dem Virtualisierungselement ein bösartiges Modul herunter, das dann verwendet wird, um die eingebettete App der Zielbank in einem virtuellen Container zu installieren und zu starten.

Um es weiter zu erklären: Die betrügerische App ist so konzipiert, dass sie die legitime Banking-App in einen virtuellen Container lädt und gleichzeitig ein Hooking-Framework verwendet, um das Verhalten wichtiger APIs zu ändern. Dadurch kann die Malware programmgesteuert vertrauliche Informationen vom Bildschirm der Anwendung erfassen und Dialogfelder schließen, die vor böswilligen Aktivitäten auf dem Gerät des Benutzers warnen.

Wie können Sie Ihr Android-Gerät schützen?

Die Sicherung Ihres Android-Geräts ist für den Schutz Ihrer persönlichen Daten, sensiblen Daten und des allgemeinen digitalen Wohlbefindens von entscheidender Bedeutung. Hier sind einige wichtige Tipps, um Ihr Android-Gerät zu schützen:

Halten Sie die Software auf dem neuesten Stand:
Aktualisieren Sie regelmäßig das Betriebssystem und die Apps Ihres Geräts, um Sicherheitslücken zu schließen und von den neuesten Sicherheitsfunktionen zu profitieren.

Laden Sie Apps von vertrauenswürdigen Quellen herunter:
Nutzen Sie offizielle App-Stores wie Google Play, um Apps herunterzuladen. Vermeiden Sie App-Stores von Drittanbietern, da diese möglicherweise schädliche Apps hosten.

App-Berechtigungen:
Überprüfen Sie die App-Berechtigungen vor der Installation. Seien Sie vorsichtig, wenn eine App unnötige Berechtigungen anfordert, die scheinbar nichts mit ihrer Funktionalität zu tun haben.