Programari maliciós Camaleon Mobile
Des de principis de 2023, s'ha detectat una nova forma de troià d'Android, denominada "Camaleó", dirigida a usuaris tant a Austràlia com a Polònia. Aquest programari maliciós en particular està dissenyat per imitar entitats legítimes com l'intercanvi de criptomonedes CoinSpot, una agència del govern australià. i el banc IKO.
Segons la firma de ciberseguretat Cyble, es creu que la distribució d'aquest programari maliciós mòbil s'ha produït a través de diversos canals. Aquests inclouen llocs web compromesos, fitxers adjunts a la popular plataforma de comunicació Discord i serveis d'allotjament proporcionats per Bitbucket. A més, el troià d'Android Chameleon compta amb un ampli espectre de capacitats nocives, que inclouen el robatori de credencials d'usuari mitjançant injeccions de superposició i registre de tecles, així com la recollida de galetes i missatges SMS del dispositiu compromès.
Taula de continguts
Camaleó realitza diverses comprovacions antidetecció
Quan s'executa al dispositiu Android trencat, el programari maliciós mòbil Chameleon utilitza diverses tècniques per evitar la detecció del programari de seguretat. Aquestes tàctiques inclouen comprovacions antiemulació per determinar si el dispositiu està arrelat i si la depuració s'ha activat. Si l'amenaça detecta que s'està executant en l'entorn d'un analista, pot avortar completament el procés d'infecció per evitar la detecció.
Si determina que l'entorn és segur, Chameleon continua amb la seva programació maliciosa i demana a la víctima que l'autoritzi a utilitzar el Servei d'Accessibilitat. L'amenaça aprofita aquest permís per concedir-se privilegis addicionals, desactivar Google Play Protect i evitar que la víctima desinstal·li el troià.
Els atacants poden dur a terme diverses activitats amenaçadores mitjançant el programari maliciós Chameleon Mobile
En establir una connexió amb el servidor de comandament i control (C2), el programari maliciós Chameleon inicia la comunicació enviant la versió, el model, l'estat de l'arrel, el país i la ubicació precisa del dispositiu. Es creu que aquest és un intent de perfilar la nova infecció i adaptar les seves activitats en conseqüència.
Posteriorment, depenent de l'entitat que el programari maliciós suplanta, obre un URL legítim en una WebView i comença la càrrega de mòduls maliciosos en segon pla. Aquests mòduls inclouen un robatori de galetes, un registrador de tecles, un injector de pàgines de pesca de credencials, un capturador de PIN/patró de pantalla de bloqueig i un robatori d'SMS. Aquest últim és especialment preocupant, ja que pot extreure contrasenyes d'una sola vegada, permetent així als atacants evitar les proteccions d'autenticació de dos factors.
Per dur a terme les seves activitats de recollida de dades, el programari maliciós Chameleon es basa en l'abús dels serveis d'accessibilitat. Això atorga al programari maliciós la capacitat de supervisar el contingut de la pantalla, detectar esdeveniments específics, modificar elements de la interfície i enviar les trucades d'API necessàries segons sigui necessari.
El programari maliciós mòbil Chameleon estableix la persistència en dispositius infectats
A més de les seves activitats de recollida de dades, el programari maliciós Chameleon també aprofita els serveis d'accessibilitat per impedir l'eliminació de l'aplicació no segura. Això ho aconsegueix supervisant els intents de desinstal·lació de la víctima i suprimint les variables de preferències compartides associades al programari maliciós. Això fa que sembli com si l'aplicació s'hagi desinstal·lat quan, de fet, roman al dispositiu.
A més, l'empresa de ciberseguretat Cyble ha descobert codi a Chameleon que li permet descarregar una càrrega útil mentre està en temps d'execució i desar-la al dispositiu amfitrió com a fitxer ".jar". Aquest fitxer està pensat per ser executat més tard mitjançant DexClassLoader. Tanmateix, sembla que aquesta funció no està utilitzada actualment pel programari maliciós.
