Chameleon Mobile Malware
Od začátku roku 2023 byla zjištěna nová forma trojského koně Android označovaná jako „Chameleon“, který cílí na uživatele v Austrálii i Polsku. Tento konkrétní malware je navržen tak, aby napodoboval legitimní entity, jako je burza kryptoměn CoinSpot, australská vládní agentura, a IKO banku.
Podle společnosti Cyble zabývající se kybernetickou bezpečností se předpokládá, že k šíření tohoto mobilního malwaru došlo prostřednictvím různých kanálů. Patří mezi ně kompromitované webové stránky, přílohy na populární komunikační platformě Discord a hostingové služby poskytované Bitbucket. Trojan Chameleon Android se navíc může pochlubit širokým spektrem škodlivých schopností, které zahrnují krádež uživatelských pověření prostřednictvím překryvných injekcí a keyloggingu, stejně jako shromažďování souborů cookie a SMS zpráv z napadeného zařízení.
Obsah
Chameleon provádí různé antidetekční kontroly
Po spuštění na narušeném zařízení Android využívá mobilní malware Chameleon několik technik, aby se vyhnul detekci bezpečnostním softwarem. Tyto taktiky zahrnují antiemulační kontroly, aby se zjistilo, zda je zařízení rootované a zda bylo aktivováno ladění. Pokud hrozba zjistí, že je spuštěna v prostředí analytika, může proces infekce úplně přerušit, aby se zabránilo detekci.
Pokud zjistí, že prostředí je bezpečné, Chameleon pokračuje ve svém škodlivém programování a vyzve oběť, aby jí povolila používat službu usnadnění. Toto oprávnění pak hrozba zneužije k tomu, aby si udělila další oprávnění, vypnula Google Play Protect a zabránila oběti v odinstalaci trojského koně.
Útočníci mohou provádět různé ohrožující činnosti prostřednictvím Chameleon Mobile Malware
Po navázání spojení se serverem Command and Control (C2) zahájí malware Chameleon komunikaci odesláním verze zařízení, modelu, stavu kořene, země a přesné polohy. Předpokládá se, že jde o pokus o profilování nové infekce a přizpůsobení jejích aktivit odpovídajícím způsobem.
Následně, v závislosti na entitě, za kterou se malware vydává, otevře legitimní URL ve WebView a zahájí načítání škodlivých modulů na pozadí. Mezi tyto moduly patří zloděj souborů cookie, keylogger, injektor phishingových stránek, chytač PIN/vzorů na zamykací obrazovce a zloděj SMS. Poslední jmenovaný je obzvláště znepokojivý, protože dokáže extrahovat jednorázová hesla, a tím útočníkům umožňuje obejít dvoufaktorovou autentizační ochranu.
Při provádění svých činností shromažďování dat se malware Chameleon spoléhá na zneužívání služeb usnadnění. To poskytuje malwaru schopnost monitorovat obsah obrazovky, zjišťovat konkrétní události, upravovat prvky rozhraní a podle potřeby odesílat potřebná volání API.
Chameleon Mobile Malware zajišťuje odolnost na infikovaných zařízeních
Kromě svých činností shromažďování dat využívá malware Chameleon také služby zpřístupnění, aby zabránil odstranění nebezpečné aplikace. Dosahuje toho sledováním pokusů oběti o odinstalaci a mazáním proměnných sdílených předvoleb spojených s malwarem. Díky tomu to vypadá, jako by byla aplikace odinstalována, i když ve skutečnosti zůstává v zařízení.
Společnost Cyble, zabývající se kybernetickou bezpečností, navíc objevila v Chameleonu kód, který jí umožňuje stáhnout datovou část za běhu a uložit ji na hostitelské zařízení jako soubor „.jar“. Tento soubor je určen k pozdějšímu spuštění prostřednictvím DexClassLoader. Zdá se však, že tuto funkci tento malware aktuálně nepoužívá.
