Les chercheurs en cybersécurité ont découvert un nouveau malware sophistiqué pour Android appelé Gorge Fantôme Il a été observé qu’il cible les utilisateurs des pays d’Asie du Sud-Est tels que l’Indonésie, la Thaïlande et le Vietnam depuis début septembre 2023.
« Principalement diffusé via les services de messagerie, il combine des logiciels malveillants basés sur des applications et de l’ingénierie sociale pour frauder les clients des banques », a déclaré Promon, société de sécurité des applications mobiles basée à Oslo. Il a dit Dans une analyse publiée jeudi.
Les chaînes d’attaque sont principalement déployées via des applications de courrier électronique, de SMS et de messagerie, incitant les destinataires à télécharger une prétendue application bancaire dotée de fonctionnalités légitimes, mais comprenant également des composants malveillants.
Les victimes sont ensuite soumises à une technique d’ingénierie sociale similaire à la livraison d’attaques dirigées par téléphone (TOAD), qui consiste à appeler un faux centre d’appels pour recevoir des instructions étape par étape pour faire fonctionner l’application.
La principale caractéristique du malware qui le distingue des autres chevaux de Troie bancaires de ce type est l’utilisation de la virtualisation pour exécuter du code malveillant dans un conteneur et passer inaperçu.
Cette méthode trompeuse brise le bac à sable d’Android car elle permet à différentes applications de s’exécuter sur le même bac à sable, permettant ainsi aux logiciels malveillants d’accéder à des données sensibles sans nécessiter un accès root, a déclaré Bromon.
« Les solutions de virtualisation telles que celles utilisées par les logiciels malveillants peuvent également être utilisées pour injecter du code dans une application, car la solution de virtualisation charge d’abord son code (et tout ce qui existe dans son application) dans un nouveau processus, puis charge le code dans le fichier hébergé. » a déclaré le chercheur en sécurité Benjamin Adolphi.
Dans le cas de FjordPhantom, l’application hôte téléchargée comprend un module malveillant et un composant de virtualisation qui sont ensuite utilisés pour installer et exécuter l’application embarquée de la banque cible dans un conteneur virtuel.
En d’autres termes, la fausse application est conçue pour charger l’application légitime de la banque dans un conteneur virtuel tout en utilisant également un cadre de liaison au sein de l’environnement pour modifier le comportement des API clés afin de récupérer par programme les informations sensibles de l’écran de l’application et de fermer les boîtes de dialogue utilisées pour avertir des activités malveillantes sur les appareils des utilisateurs.
« FjordPhantom lui-même est conçu de manière modulaire pour attaquer différentes applications bancaires », a déclaré Adolphi. « En fonction de l’application bancaire intégrée dans le malware, celui-ci effectuera différentes attaques sur ces applications. »
:quality(70)/cloudfront-eu-central-1.images.arcpublishing.com/irishtimes/GZCB2WZNZBDSBCULPYLA6VNB5Y.jpg)
