FjordPhantom : le nouveau logiciel malveillant Android ciblant les applications bancaires en Asie du Sud-Est

« Se propageant principalement par le biais des services de messagerie, il combine des logiciels malveillants basés sur des applications avec de l’ingénierie sociale pour escroquer les clients bancaires », a déclaré Promon, une société de sécurité des applications mobiles basée à Oslo, dans une analyse publiée jeudi.

Les chaînes d’attaque, qui se propagent principalement par courrier électronique, SMS et applications de messagerie, incitent les destinataires à télécharger une prétendue application bancaire dotée de fonctions légitimes, mais qui intègre également des composants malveillants. Les victimes sont ensuite soumises à une technique d’ingénierie sociale qui s’apparente à une attaque par téléphone (TOAD), qui consiste à appeler un faux centre d’appel pour recevoir des instructions étape par étape sur l’utilisation de l’application.

L’une des principales caractéristiques du logiciel malveillant, qui le distingue des autres chevaux de Troie bancaires du même type, est l’utilisation de la virtualisation pour exécuter le code malveillant dans un conteneur et passer inaperçu. Selon Promon, cette méthode sournoise brise les protections du bac à sable d’Android car elle permet à différentes applications d’être exécutées dans le même bac à sable, ce qui permet au logiciel malveillant d’accéder à des données sensibles sans avoir besoin d’un accès root.

« Les solutions de virtualisation comme celle utilisée par le logiciel malveillant peuvent également être utilisées pour injecter du code dans une application parce que la solution de virtualisation charge d’abord son propre code (et tout ce qui se trouve dans son application) dans un nouveau processus et charge ensuite le code de l’application hébergée », a déclaré le chercheur en sécurité Benjamin Adolphi. Dans le cas de FjordPhantom, l’application hôte téléchargée comprend un module malveillant et l’élément de virtualisation qui est ensuite utilisé pour installer et lancer l’application intégrée de la banque ciblée dans un conteneur virtuel. En d’autres termes, la fausse application est conçue pour charger l’application légitime de la banque dans un conteneur virtuel tout en employant un cadre d’accrochage dans l’environnement pour modifier le comportement des API clés afin d’obtenir des informations sensibles de l’écran de l’application par programme et de fermer les boîtes de dialogue utilisées pour avertir de l’activité malveillante sur les appareils des utilisateurs.

Contacté pour un commentaire, un porte-parole de Google a déclaré à The Hacker News que « les utilisateurs sont protégés par Google Play Protect, qui peut avertir les utilisateurs ou bloquer les applications connues pour leur comportement malveillant sur les appareils Android dotés des services Google Play, même lorsque ces applications proviennent de sources extérieures à Google Play ». « FjordPhantom lui-même est écrit de manière modulaire pour attaquer différentes applications bancaires », a déclaré M. Adolphi. « En fonction de l’application bancaire intégrée au logiciel malveillant, il effectuera diverses attaques sur ces applications.