كاميليون موبايل البرمجيات الخبيثة
تم اكتشاف شكل جديد من Android Trojan يُشار إليه باسم "Chameleon" ، وهو يستهدف المستخدمين في كل من أستراليا وبولندا منذ بداية عام 2023. تم تصميم هذا البرنامج الضار المحدد لتقليد الكيانات الشرعية مثل CoinSpot cryptocurrency exchange ، وهي وكالة حكومية أسترالية ، وبنك IKO.
وفقًا لشركة Cyble للأمن السيبراني ، يُعتقد أن توزيع هذه البرامج الضارة على الأجهزة المحمولة قد حدث من خلال قنوات مختلفة. يتضمن ذلك مواقع الويب المخترقة والمرفقات على منصة الاتصال الشهيرة Discord وخدمات الاستضافة التي تقدمها Bitbucket. بالإضافة إلى ذلك ، يتميز برنامج Chameleon Android طروادة بمجموعة واسعة من القدرات الضارة ، والتي تشمل سرقة بيانات اعتماد المستخدم من خلال حقن التراكب وتسجيل لوحة المفاتيح ، فضلاً عن جمع ملفات تعريف الارتباط والرسائل النصية القصيرة من الجهاز المخترق.
جدول المحتويات
تقوم الحرباء بإجراء فحوصات مختلفة لمكافحة الاكتشاف
عند التنفيذ على جهاز Android الذي تم اختراقه ، يستخدم البرنامج الضار Chameleon المحمول عدة تقنيات لتفادي الاكتشاف بواسطة برامج الأمان. تتضمن هذه التكتيكات فحوصات مكافحة المحاكاة لتحديد ما إذا كان الجهاز متجذرًا وما إذا تم تنشيط التصحيح. إذا اكتشف التهديد أنه يعمل في بيئة محلل ، فقد يؤدي إلى إجهاض عملية العدوى تمامًا لتجنب اكتشافها.
إذا قررت أن البيئة آمنة ، تتابع كاميليون برمجتها الخبيثة وتطالب الضحية بتفويضها لاستخدام خدمة إمكانية الوصول. ثم يتم استغلال هذا الإذن من خلال التهديد لمنح نفسه امتيازات إضافية ، وإيقاف تشغيل حماية Google Play ، ومنع الضحية من إلغاء تثبيت حصان طروادة.
يمكن للمهاجمين تنفيذ أنشطة تهديد مختلفة من خلال برنامج Chameleon Mobile Malware
عند إنشاء اتصال بخادم الأوامر والتحكم (C2) ، يبدأ البرنامج الضار Chameleon الاتصال عن طريق إرسال إصدار الجهاز وطرازه وحالة الجذر والبلد والموقع الدقيق. يُعتقد أن هذه محاولة لتوصيف العدوى الجديدة وتكييف أنشطتها وفقًا لذلك.
وبالتالي ، بناءً على الكيان الذي ينتحل البرنامج الضار صفته ، فإنه يفتح عنوان URL شرعيًا في WebView ويبدأ في تحميل الوحدات الضارة في الخلفية. تشتمل هذه الوحدات على أداة سرقة ملفات تعريف الارتباط ، وكلوغر ، وحاقن صفحة التصيد ، ورقم تعريف شخصي لشاشة القفل / ملتقط نمط ، وسارق رسائل نصية قصيرة. هذا الأخير مثير للقلق بشكل خاص لأنه يمكنه استخراج كلمات مرور لمرة واحدة ، مما يسمح للمهاجمين بتجاوز حماية المصادقة الثنائية.
لتنفيذ أنشطة جمع البيانات ، تعتمد البرامج الضارة Chameleon على إساءة استخدام خدمات إمكانية الوصول. يمنح هذا البرنامج الضار القدرة على مراقبة محتوى الشاشة ، واكتشاف أحداث معينة ، وتعديل عناصر الواجهة ، وإرسال استدعاءات API الضرورية كما هو مطلوب.
تثبت البرامج الضارة للجوال الحرباء استمرارًا على الأجهزة المصابة
بالإضافة إلى أنشطة جمع البيانات ، فإن البرنامج الضار Chameleon يستفيد أيضًا من خدمات إمكانية الوصول لإعاقة إزالة التطبيق غير الآمن. يحقق ذلك من خلال مراقبة محاولات إلغاء التثبيت من قبل الضحية وحذف متغيرات التفضيل المشتركة المرتبطة بالبرامج الضارة. هذا يجعل الأمر يبدو كما لو تم إلغاء تثبيت التطبيق بينما ، في الواقع ، لا يزال على الجهاز.
علاوة على ذلك ، اكتشفت شركة Cyble للأمن السيبراني رمزًا داخل Chameleon يسمح لها بتنزيل حمولة أثناء وقت التشغيل وحفظها على الجهاز المضيف كملف ".jar". هذا الملف معد ليتم تنفيذه لاحقًا عبر DexClassLoader. ومع ذلك ، لا يبدو أن هذه الميزة قيد الاستخدام حاليًا بواسطة البرامج الضارة.
