Мобилен зловреден софтуер Chameleon
От началото на 2023 г. бе открита нова форма на троянски кон за Android, наричан „Chameleon“, насочен към потребители както в Австралия, така и в Полша. Този конкретен злонамерен софтуер е проектиран да имитира легитимни субекти като борсата за криптовалута CoinSpot, австралийска правителствена агенция, и IKO банка.
Според фирмата за киберсигурност Cyble се смята, че разпространението на този мобилен зловреден софтуер е станало по различни канали. Те включват компрометирани уебсайтове, прикачени файлове на популярната комуникационна платформа Discord и хостинг услуги, предоставяни от Bitbucket. В допълнение, троянският кон Chameleon Android може да се похвали с широк спектър от вредни способности, които включват кражба на потребителски идентификационни данни чрез инжектиране на наслагване и keylogging, както и събиране на бисквитки и SMS съобщения от компрометираното устройство.
Съдържание
Chameleon извършва различни проверки против откриване
При изпълнение на пробито устройство с Android, мобилният злонамерен софтуер Chameleon използва няколко техники, за да избегне откриването от софтуера за сигурност. Тези тактики включват проверки против емулация, за да се определи дали устройството е руутнато и дали отстраняването на грешки е активирано. Ако заплахата установи, че се изпълнява в среда на анализатор, тя може напълно да прекъсне процеса на заразяване, за да избегне откриването.
Ако установи, че средата е безопасна, Chameleon продължава със своето злонамерено програмиране и подканва жертвата да я упълномощи да използва услугата за достъпност. След това това разрешение се използва от заплахата, за да си даде допълнителни привилегии, да изключи Google Play Protect и да попречи на жертвата да деинсталира троянския кон.
Нападателите могат да извършват различни заплашителни дейности чрез зловреден софтуер Chameleon Mobile
При установяване на връзка със сървъра за командване и контрол (C2), злонамереният софтуер Chameleon инициира комуникация, като изпраща версията на устройството, модела, root статуса, държавата и точното местоположение. Смята се, че това е опит за профилиране на новата инфекция и съответно приспособяване на нейните дейности.
Впоследствие, в зависимост от обекта, който злонамереният софтуер се представя, той отваря легитимен URL адрес в WebView и започва зареждането на злонамерени модули във фонов режим. Тези модули включват крадец на бисквитки, кийлогър, инжектор за фишинг страница, инструмент за прихващане на ПИН/шаблони на заключен екран и крадец на SMS. Последното е особено обезпокоително, тъй като може да извлече еднократни пароли, като по този начин позволява на нападателите да заобиколят защитите за двуфакторно удостоверяване.
За да извършва своите дейности по събиране на данни, злонамереният софтуер Chameleon разчита на злоупотребата с услугите за достъпност. Това дава възможност на злонамерения софтуер да наблюдава съдържанието на екрана, да открива специфични събития, да променя елементите на интерфейса и да изпраща необходимите API извиквания, както е необходимо.
Мобилният злонамерен софтуер Chameleon осигурява устойчивост на заразени устройства
В допълнение към дейностите си по събиране на данни, злонамереният софтуер Chameleon също използва услугите за достъпност, за да попречи на премахването на опасното приложение. Той постига това чрез наблюдение на опитите за деинсталиране от страна на жертвата и изтриване на променливите за споделени предпочитания, свързани със зловреден софтуер. Това кара да изглежда така, сякаш приложението е деинсталирано, когато всъщност то остава на устройството.
Освен това, фирмата за киберсигурност Cyble е открила код в Chameleon, който му позволява да изтегли полезен товар по време на изпълнение и да го запише на хост устройството като файл „.jar“. Този файл е предназначен да бъде изпълнен по-късно чрез DexClassLoader. Тази функция обаче изглежда не се използва в момента от злонамерения софтуер.
