あるAndroidマルウェアがアジア諸国で大混乱を引き起こし、タイでは1000万バーツ(約4200万円※)をだまし取られた被害者もいたと報じられています。
※1バーツ=約4.2円で換算(2023年12月3日現在)
サイバーセキュリティ企業のPromonが発見した「FjordPhantom」は、これまでにない手法を用いたマルウェア。恐ろしいのは、検知を避けるのが非常にうまいことです。
この攻撃の始まりは、電子メールやSMS、メッセージアプリから。銀行の正規アプリに見せかけたものをダウンロードするように促します。
ダウンロードされたアプリは、本物の銀行アプリを含みながらも、アプリへの攻撃を可能にするマルウェア部分(FjordPhantom)を備え、仮想環境で実行されます。
そしてダウンロード後、銀行のカスタマーサポートを装った攻撃者チームが電話をかけ、ユーザーにアプリを操作する手順を案内。マルウェアを通じて、攻撃者はユーザーの行動を追跡できるようになり、送金するよう誘導したり、認証情報を盗んだりすることができます。その認証情報を使って、さらなる攻撃も仕掛けられます。
FjordPhantomの手口は、仮想化ソリューションを使っていること。まずアプリを仮想コンテナにインストールして、Androidのサンドボックス(アプリのコードやデータを他のアプリやシステムから隔離するセキュリティ機能)を回避。それにより、検知されることなく攻撃が仕掛けられる仕組みです。
さらに、スマホ内部に侵入したFjordPhantomは、追加コードを銀行アプリに注入し、さらなる攻撃が可能となります。そうした攻撃対象となりうる銀行アプリは複数確認されているそう。
通常、Google Playストアでダウンロードできるアプリは、Googleにより安全性がチェックされているはず(それをかいくぐるマルウェアも少なくありませんが)。信頼できるアプリストア以外ではアプリをダウンロードせず、たとえ相手が銀行を名乗っていても、電話で機密情報を伝えないよう気をつけたいところです。
Source:Promon
via:PhoneArena