Promonは11月30日(現地時間)、「Promon discovers FjordPhantom, Android banking malware」において、Androidを標的とした新しいバンキング型マルウェア「FjordPhantom」を発見したとして、注意を呼び掛けた。

  • Promon discovers FjordPhantom、Android banking malware

    Promon discovers FjordPhantom, Android banking malware

Promonのセキュリティ調査チームは2023年9月初旬、インドネシア、タイ、ベトナムを中心に東南アジア地域で新しいAndroid向けのマルウェアが蔓延しているとの報告を受けたという。この地域の銀行との協議の中で、顧客の1人が1000万タイバーツドル(約28万ドル)をだまし取られたことが確認されている。Promonは顧客のAndroidデバイスからマルウェア(後にFjordPhantomと命名)のサンプルを取得して分析している。

Promonによると、脅威アクターは主に電子メール、ショートメッセージサービス(SMS: Short Message Service)、メッセージングアプリなどを通じて銀行アプリに偽装したこのマルウェアのダウンロードを要求するという。マルウェアがダウンロードされると、脅威アクターは銀行のカスタマーサービスになりすまし、マルウェアの実行手順を案内するとされる。このマルウェアには本当の銀行アプリが含まれており、銀行アプリへの攻撃を可能とする追加コンポーネントを備えた仮想環境の中で銀行アプリを実行する仕組みになっている。

  • FjordPhantomの仕組み - 提供:Promon

    FjordPhantomの仕組み 引用:Promon

脅威アクターが仮想環境を利用した理由は、Androidのサンドボックス環境を破るためと考えられている。通常、Android上で動作するアプリはサンドボックス環境で分離実行されるため、ほかのアプリからの影響を受けることはない。今回、脅威アクターは仮想環境内で銀行アプリを動作させることにより、このサンドボックスの制限を回避し、銀行アプリへの侵害を可能にしたものとみられる。

標的となった銀行アプリには攻撃を検出する機能があるとされるが、マルウェアは仮想環境を使用することでAPIをフックし、銀行アプリに偽の情報を応答する。このため、銀行アプリは異常を検出できず、マルウェアは銀行アプリの画面から機密情報を窃取することが可能と見られる。また、銀行アプリが潜在的な異常を検出してユーザーに通知を試みても、通知をフックして自動で閉じてしまうため、ユーザーは異常の通知を確認することができないという。

Promonはこのような攻撃からデバイスを保護するため、適切なセキュリテイソリューションの導入を推奨している。 また、このマルウェアは配布の際にソーシャルエンジニアリング攻撃を使用してユーザーにマルウェアをインストールさせている。このような攻撃を回避するために、Androidを利用するユーザーには公式ストア以外からアプリをインストールしないようにすることが推奨されている。