FjordPhantom mobiele malware verschuilt zich achter virtualisatie

Beveiligingsonderzoekers hebben het bestaan onthuld van een onlangs geïdentificeerde en zeer geavanceerde Android-malware, bekend als FjordPhantom, die zich sinds begin september 2023 actief richt op individuen in Zuidoost-Aziatische landen zoals Indonesië, Thailand en Vietnam.

Volgens een analyse gepubliceerd door Promon, een beveiligingsbedrijf voor mobiele apps gevestigd in Zweden, verspreidt de malware zich voornamelijk via berichtendiensten, waarbij een combinatie van app-gebaseerde malware en social engineering-technieken wordt gebruikt om gebruikers te misleiden zodat ze frauduleuze bankapplicaties downloaden. De aanvalsvectoren omvatten e-mail-, sms- en berichtenapps, waarbij slachtoffers worden verleid tot het downloaden van wat een legitieme bankapp lijkt te zijn, maar in werkelijkheid kwaadaardige componenten bevat.

FjordPhantom omzeilt detectie door middel van virtualisatie

Het onderscheidende kenmerk van de malware, waarmee deze zich onderscheidt van andere banktrojans, is het gebruik van virtualisatie om kwaadaardige code in een container uit te voeren, waardoor detectie kan worden omzeild. Deze methode omzeilt de sandbox-beveiligingen van Android door meerdere apps in dezelfde sandbox te laten draaien, waardoor de toegang tot gevoelige gegevens wordt vergemakkelijkt zonder root-toegang.

Promon legt uit dat de virtualisatietechniek die door FjordPhantom wordt gebruikt code in een applicatie kan injecteren door zijn eigen code in een nieuw proces te laden voordat de code van de gehoste applicatie wordt geladen. In het geval van FjordPhantom downloadt de host-app samen met het virtualisatie-element een kwaadaardige module, die vervolgens wordt gebruikt om de ingebedde app van de beoogde bank in een virtuele container te installeren en te starten.

Om het verder uit te leggen: de frauduleuze app is ontworpen om de legitieme bankapp in een virtuele container te laden, terwijl een hooking-framework wordt gebruikt om het gedrag van belangrijke API's te wijzigen. Hierdoor kan de malware programmatisch gevoelige informatie van het scherm van de applicatie vastleggen en dialoogvensters sluiten die waarschuwen voor kwaadaardige activiteiten op het apparaat van de gebruiker.

Hoe kunt u uw Android-apparaat veilig houden?

Het beveiligen van uw Android-apparaat is van cruciaal belang om uw persoonlijke gegevens, gevoelige gegevens en het algehele digitale welzijn te beschermen. Hier zijn enkele essentiële tips om uw Android-apparaat veilig te houden:

Houd software bijgewerkt:
Update regelmatig het besturingssysteem en de apps van uw apparaat om beveiligingsproblemen te verhelpen en te profiteren van de nieuwste beveiligingsfuncties.

Download apps van vertrouwde bronnen:
Gebruik officiële appstores zoals Google Play om apps te downloaden. Vermijd appstores van derden, aangezien deze kwaadaardige apps kunnen hosten.

App-machtigingen:
Controleer de app-machtigingen vóór de installatie. Wees voorzichtig als een app onnodige machtigingen vraagt die geen verband lijken te houden met de functionaliteit ervan.