Phần mềm độc hại di động Chameleon
Một dạng Trojan Android mới có tên là 'Chameleon' đã được phát hiện nhắm mục tiêu đến người dùng ở cả Úc và Ba Lan kể từ đầu năm 2023. Phần mềm độc hại cụ thể này được thiết kế để bắt chước các thực thể hợp pháp như sàn giao dịch tiền điện tử CoinSpot, một cơ quan của chính phủ Úc, và ngân hàng IKO.
Theo công ty an ninh mạng Cyble, việc phân phối phần mềm độc hại di động này được cho là đã xảy ra thông qua nhiều kênh khác nhau. Chúng bao gồm các trang web bị xâm nhập, tệp đính kèm trên nền tảng liên lạc phổ biến Discord và dịch vụ lưu trữ do Bitbucket cung cấp. Ngoài ra, trojan Android Chameleon tự hào có nhiều khả năng gây hại, bao gồm đánh cắp thông tin đăng nhập của người dùng thông qua việc tiêm lớp phủ và ghi lại thao tác bàn phím, cũng như thu thập cookie và tin nhắn SMS từ thiết bị bị xâm nhập.
Mục lục
Tắc kè hoa thực hiện nhiều cuộc kiểm tra chống phát hiện khác nhau
Khi thực thi trên thiết bị Android bị xâm phạm, phần mềm độc hại trên thiết bị di động Chameleon sử dụng một số kỹ thuật để tránh bị phần mềm bảo mật phát hiện. Các chiến thuật này bao gồm kiểm tra chống mô phỏng để xác định xem thiết bị đã được root hay chưa và liệu gỡ lỗi đã được kích hoạt chưa. Nếu mối đe dọa phát hiện ra rằng nó đang chạy trong môi trường của nhà phân tích, nó có thể hủy bỏ hoàn toàn quá trình lây nhiễm để tránh bị phát hiện.
Nếu nó xác định rằng môi trường an toàn, Chameleon sẽ tiến hành lập trình độc hại và nhắc nạn nhân ủy quyền cho nó sử dụng Dịch vụ trợ năng. Quyền này sau đó bị mối đe dọa khai thác để tự cấp cho mình các đặc quyền bổ sung, tắt Google Play Protect và ngăn nạn nhân gỡ cài đặt Trojan.
Kẻ tấn công có thể thực hiện các hoạt động đe dọa khác nhau thông qua phần mềm độc hại Chameleon Mobile
Khi thiết lập kết nối với máy chủ Chỉ huy và Kiểm soát (C2), phần mềm độc hại Chameleon bắt đầu liên lạc bằng cách gửi phiên bản, kiểu máy, trạng thái gốc, quốc gia và vị trí chính xác của thiết bị. Đây được cho là một nỗ lực để lập hồ sơ về sự lây nhiễm mới và điều chỉnh các hoạt động của nó cho phù hợp.
Sau đó, tùy thuộc vào thực thể mà phần mềm độc hại đang mạo danh, nó sẽ mở một URL hợp pháp trong WebView và bắt đầu tải các mô-đun độc hại trong nền. Các mô-đun này bao gồm trình đánh cắp cookie, trình ghi bàn phím, trình tạo trang lừa đảo, trình lấy mã PIN/mẫu màn hình khóa và trình đánh cắp SMS. Cái sau đặc biệt đáng lo ngại vì nó có thể trích xuất mật khẩu một lần, do đó cho phép kẻ tấn công vượt qua các biện pháp bảo vệ xác thực hai yếu tố.
Để thực hiện các hoạt động thu thập dữ liệu của mình, phần mềm độc hại Chameleon dựa vào việc lạm dụng Dịch vụ trợ năng. Điều này cấp cho phần mềm độc hại khả năng giám sát nội dung màn hình, phát hiện các sự kiện cụ thể, sửa đổi các thành phần giao diện và gửi lệnh gọi API cần thiết theo yêu cầu.
Phần mềm độc hại di động Chameleon thiết lập sự tồn tại trên các thiết bị bị nhiễm
Ngoài các hoạt động thu thập dữ liệu, phần mềm độc hại Chameleon còn tận dụng Dịch vụ trợ năng để cản trở việc xóa ứng dụng không an toàn. Nó thực hiện điều này bằng cách theo dõi các nỗ lực gỡ cài đặt của nạn nhân và xóa các biến tùy chọn được chia sẻ có liên quan đến phần mềm độc hại. Điều này làm cho có vẻ như ứng dụng đã bị gỡ cài đặt trong khi trên thực tế, ứng dụng vẫn còn trên thiết bị.
Hơn nữa, công ty an ninh mạng Cyble đã phát hiện ra mã trong Chameleon cho phép nó tải xuống một trọng tải trong thời gian chạy và lưu nó trên thiết bị chủ dưới dạng tệp '.jar'. Tệp này dự định sẽ được thực thi sau thông qua DexClassLoader. Tuy nhiên, tính năng này dường như không được sử dụng bởi phần mềm độc hại.
