Il malware mobile FjordPhantom si nasconde dietro la virtualizzazione
I ricercatori di sicurezza hanno rivelato l'esistenza di un malware Android recentemente identificato e altamente sofisticato noto come FjordPhantom, che ha preso di mira attivamente individui nelle nazioni del sud-est asiatico come Indonesia, Tailandia e Vietnam dall'inizio di settembre 2023.
Secondo un'analisi pubblicata da Promon, una società di sicurezza di app mobili con sede in Svezia, il malware si diffonde principalmente attraverso i servizi di messaggistica, impiegando una combinazione di malware basato su app e tecniche di ingegneria sociale per indurre gli utenti a scaricare applicazioni bancarie fraudolente. I vettori di attacco includono e-mail, SMS e app di messaggistica, con le vittime che vengono indotte a scaricare quella che sembra essere un'app bancaria legittima, ma che in realtà include componenti dannosi.
FjordPhantom elude il rilevamento grazie alla virtualizzazione
La caratteristica distintiva del malware, che lo distingue dagli altri trojan bancari, è l'utilizzo della virtualizzazione per eseguire codice dannoso all'interno di un contenitore, consentendogli di eludere il rilevamento. Questo metodo aggira le protezioni sandbox di Android consentendo l'esecuzione di più app nella stessa sandbox, facilitando l'accesso ai dati sensibili senza richiedere l'accesso root.
Promon spiega che la tecnica di virtualizzazione utilizzata da FjordPhantom può iniettare codice in un'applicazione caricando il proprio codice in un nuovo processo prima di caricare il codice dell'applicazione ospitata. Nel caso di FjordPhantom, l'app host scarica insieme all'elemento di virtualizzazione un modulo dannoso, che viene poi utilizzato per installare e avviare l'app incorporata della banca presa di mira in un contenitore virtuale.
Per spiegare ulteriormente, l'app fraudolenta è progettata per caricare l'app bancaria legittima all'interno di un contenitore virtuale utilizzando al tempo stesso un framework di hooking per modificare il comportamento delle API chiave. Ciò consente al malware di acquisire a livello di codice informazioni sensibili dallo schermo dell'applicazione e di chiudere le finestre di dialogo che avvisano di attività dannose sul dispositivo dell'utente.
Come puoi proteggere il tuo dispositivo Android?
Proteggere il tuo dispositivo Android è fondamentale per proteggere le tue informazioni personali, i dati sensibili e il benessere digitale generale. Ecco alcuni suggerimenti essenziali per proteggere il tuo dispositivo Android:
Mantieni il software aggiornato:
Aggiorna regolarmente il sistema operativo e le app del tuo dispositivo per correggere le vulnerabilità della sicurezza e beneficiare delle funzionalità di sicurezza più recenti.
Scarica app da fonti attendibili:
Utilizza app store ufficiali come Google Play per scaricare app. Evita gli app store di terze parti, poiché potrebbero ospitare app dannose.
Autorizzazioni dell'app:
Controlla le autorizzazioni dell'app prima dell'installazione. Fai attenzione se un'app richiede autorizzazioni non necessarie che sembrano non correlate alla sua funzionalità.
