Chameleon Mobile Malware
En ny form for Android-trojaner, der omtales som 'Chameleon', er blevet opdaget målrettet mod brugere i både Australien og Polen siden starten af 2023. Denne særlige malware er designet til at efterligne legitime enheder såsom CoinSpot cryptocurrency exchange, et australsk regeringsagentur, og IKO-banken.
Ifølge cybersikkerhedsfirmaet Cyble menes distributionen af denne mobile malware at være sket gennem forskellige kanaler. Disse omfatter kompromitterede websteder, vedhæftede filer på den populære kommunikationsplatform Discord og hostingtjenester leveret af Bitbucket. Derudover kan Chameleon Android-trojaneren prale af et bredt spektrum af skadelige egenskaber, som omfatter tyveri af brugeroplysninger gennem overlay-indsprøjtninger og keylogging, samt indsamling af cookies og SMS-beskeder fra den kompromitterede enhed.
Indholdsfortegnelse
Kamæleon udfører forskellige anti-detektionstjek
Ved henrettelse på den brudte Android-enhed anvender Chameleon mobile malware adskillige teknikker til at undgå opdagelse af sikkerhedssoftware. Disse taktikker inkluderer anti-emuleringstjek for at afgøre, om enheden er rootet, og om fejlretning er blevet aktiveret. Hvis truslen registrerer, at den kører i en analytikers miljø, kan den afbryde infektionsprocessen helt for at undgå registrering.
Hvis den fastslår, at miljøet er sikkert, fortsætter Chameleon med sin ondsindede programmering og beder offeret om at autorisere det til at bruge tilgængelighedstjenesten. Denne tilladelse udnyttes derefter af truslen til at give sig selv yderligere privilegier, slukke for Google Play Protect og forhindre offeret i at afinstallere trojaneren.
Angribere kan udføre forskellige truende aktiviteter gennem Chameleon Mobile Malware
Efter at have etableret en forbindelse med Command and Control (C2)-serveren, starter Chameleon-malwaren kommunikation ved at sende enhedens version, model, rodstatus, land og præcise placering. Dette menes at være et forsøg på at profilere den nye infektion og skræddersy dens aktiviteter derefter.
Afhængigt af den enhed, som malwaren efterligner, åbner den efterfølgende en legitim URL i en WebView og begynder indlæsningen af ondsindede moduler i baggrunden. Disse moduler inkluderer en cookie-tyver, en keylogger, en phishing-sideinjektor, en låseskærms PIN/mønster-grabber og en SMS-tyver. Sidstnævnte er særligt bekymrende, da det kan udtrække engangsadgangskoder, og derved tillade angriberne at omgå to-faktor-godkendelsesbeskyttelse.
For at udføre sine dataindsamlingsaktiviteter er Chameleon malware afhængig af misbrug af tilgængelighedstjenester. Dette giver malwaren mulighed for at overvåge skærmindhold, detektere specifikke hændelser, ændre grænsefladeelementer og sende nødvendige API-kald efter behov.
Chameleon Mobile Malware etablerer persistens på inficerede enheder
Ud over dets dataindsamlingsaktiviteter udnytter Chameleon-malwaren også tilgængelighedstjenesterne til at forhindre fjernelse af den usikre applikation. Det opnår dette ved at overvåge afinstallationsforsøg fra offeret og slette de delte præferencevariabler forbundet med malwaren. Dette får det til at se ud, som om appen er blevet afinstalleret, når den faktisk forbliver på enheden.
Ydermere har cybersikkerhedsfirmaet Cyble opdaget kode i Chameleon, der gør det muligt at downloade en nyttelast, mens den er i runtime og gemme den på værtsenheden som en '.jar'-fil. Denne fil er beregnet til at blive udført senere via DexClassLoader. Denne funktion ser dog ikke ud til at være i brug af malwaren i øjeblikket.
