Expertos en seguridad informática han revelado un nuevo y avanzado malware para Android denominado FjordPhantom, que ha sido detectado afectando a usuarios en países del sudeste asiático como Indonesia, Tailandia y Vietnam desde principios de septiembre de 2023.
Diseminado principalmente mediante correos electrónicos, mensajes de texto y aplicaciones de mensajería, las cadenas de ataque engañan a los destinatarios para que descarguen una supuesta aplicación bancaria que aparenta tener funciones legítimas, pero que también incorpora componentes maliciosos.
Posteriormente, las víctimas son sometidas a una técnica de ingeniería social similar a la entrega de ataques orientados a llamadas telefónicas (TOAD), que implica llamar a un falso centro de llamadas para recibir instrucciones detalladas sobre cómo ejecutar la aplicación.
Una característica distintiva de este malware, que lo diferencia de otros troyanos bancarios similares, es el uso de virtualización para ejecutar código malicioso en un contenedor y evadir la detección.
Este método astuto, según Promon, burla las protecciones de «sandbox» de Android al permitir que distintas aplicaciones se ejecuten en el mismo entorno aislado, posibilitando que el malware acceda a datos sensibles sin requerir privilegios de root.
En el caso de FjordPhantom, la aplicación principal descargada contiene un módulo malicioso y el componente de virtualización, que luego se utiliza para instalar y lanzar la aplicación incrustada del banco objetivo en un contenedor virtual.
En otras palabras, la aplicación fraudulenta está diseñada para cargar la aplicación legítima del banco en un contenedor virtual, mientras utiliza un marco de interceptación dentro del entorno para modificar el comportamiento de las API clave y obtener información sensible de la pantalla de la aplicación de forma programática, cerrando además cuadros de diálogo que alertan sobre actividades maliciosas en los dispositivos de los usuarios.