FjordPhantom
FjordPhantomは新しいマルウェアです。
- ターゲット環境はAndroid
FjordPhantomのターゲットとなる環境はAndroidです。 - 始まりはメッセージ
拡散の最初の段階は、電子メール、SMS、メッセージング アプリです。
届いたメッセージには、銀行独自のアプリに似たアプリをダウンロードするように促す内容が含まれています。 - ダウンロードしたものは本物プラスアルファ
ダウンロードさせられたものの全体がマルウェアなわけではありません。
銀行アプリの部分は何も加工されていない本物のアプリのAPKとなっています。
それに加えて、マルウェアの本体として動作するFjordPhantomの部分を含んでいます。 - ソーシャルエンジニアリングで設置作業
攻撃者はコールセンターの形式をとる攻撃チームを持っています。
このチームの活動により、被害者の環境はFjordPhantomの動作が成り立つ設定状態に仕上げられます。 - FjordPhantomの仮想化
FjordPhantomでは、仮想化の悪用が実施されます。
悪用しているのはGitHubで公開されているいくつかの機構で、仮想化ソリューションとフッキングフレームワークです。
仮想コンテナで動作させられているアプリはそのままでは他のシステムリソースにアクセスできないため、通常期待する動作ができません。
それを解消するために利用される技術がフッキングです。
仮想コンテナの中のアプリが実施したい環境へのアクセスをフッキングフレームワークが仲立ちし、動作する状態にします。 - Androidのサンドボックス概念の破壊
もともとAndroidのアプリはサンドボックスで稼働させる仕組みになっていて、周囲の環境と隔離される動きとなるため、安全を保つことができるという仕組みになってます。
しかし、仮想コンテナとフッキングフレームワークを使った仕組みはどうでしょうか。
サンドボックスの持つ隔離する効能を役に立たなくしてしまうことになっています。
この他にも、仮想コンテナの周辺の機能には、仮想ファイルシステムというものがあります。
実際の銀行アプリのAPKのコードを改変するのではなく、動作時にその内容を仮想ファイルシステムの中で追加したり変更したりして動作させることを可能としてしまいます。
これは、コード改ざん検出という方向の安全化技法を役に立たなくしてしまいます。
通常、Androidで仮想化を動作させる場合には、その操作を開始するのはユーザーなのですが、FjordPhantomはマルウェア自身が仮想化機構を実行するという動きをします。
このため、ユーザーはいま利用しようとしたアプリが仮想コンテナ上で動作を開始したことを認識できません。
たしかにこれはPhantomという感じがします。
参考記事(外部リンク):Promon discovers new Android banking malware,
“FjordPhantom”
promon.co/security-news/fjordphantom-android-malware/
