Attraverso l’instancabile lavoro degli esperti di sicurezza è stato possibile individuare e analizzare FjordPhantom, un malware Android particolarmente sfuggente.
L’agente malevolo, segnalato per la prima volta all’inizio di settembre nel sud-est asiatico, è rimasto quasi un “fantasma” per diverse settimane, visto che neanche gli esperti riuscivano a delineare le sue caratteristiche salienti.
Tutto è cambiato quando, grazie al team di ricerca di Promon, è stato possibile mettere le mani su un campione del malware. Ciò ha consentito all’analisi approfondita di FjordPhantom, operazione che ha consentito di delineare uno scenario a dir poco inquietante.
Il malware, attivo prevalentemente in nazioni come Indonesia, Thailandia e Vietnam, sfrutta una combinazione di tecniche di social engineering per diffondersi e proliferare. Il target delineato dai cybercriminali sono i clienti bancari che, a quanto pare, ricevono SMS o e-mail attraverso cui viene promossa un’app (all’apparenza legittima) della propria banca.
Il malware FjordPhantom abbina tecniche di social engineering e virtualizzazione
Dopo lo scaricamento e l’esecuzione dell’app, la vittima viene direzionata verso un call center fasullo, attraverso cui vengono rubati dati sensibili. Altra caratteristica singolare collegata a FjordPhantom è l’uso della virtualizzazione.
Utilizzando le applicazioni sul dispositivo della vittima in contesti virtuali, il malware va ad eludere il sistema di sandbox Android. In questo modo, il malware elimina le misure di rilevamento tipiche degli smartphone contemporanei. Con poche e semplici mosse, dunque, i cybercriminali che gestiscono l’operazione riescono a prendere il totale controllo del dispositivo.
Questo malware, vista la sua rapida espansione, potrebbe presto giungere anche in occidente. Promon, in tal senso, ha sottolineato quanto sia importante scaricare app solo da fonti attendibili, evitando quelli che non sono i principali store del settore. Così come per tanti altri malware in circolazione, anche in questo caso un ottimo antivirus può fare la differenza.