Κακόβουλο λογισμικό Chameleon Mobile
Μια νέα μορφή Android Trojan που αναφέρεται ως «Chameleon» έχει εντοπιστεί και στοχεύει χρήστες τόσο στην Αυστραλία όσο και στην Πολωνία από τις αρχές του 2023. Αυτό το συγκεκριμένο κακόβουλο λογισμικό έχει σχεδιαστεί για να μιμείται νόμιμες οντότητες όπως το χρηματιστήριο κρυπτονομισμάτων CoinSpot, μια αυστραλιανή κυβερνητική υπηρεσία, και η τράπεζα ΙΚΟ.
Σύμφωνα με την εταιρεία κυβερνοασφάλειας Cyble, η διανομή αυτού του κακόβουλου λογισμικού για κινητά πιστεύεται ότι έγινε μέσω διαφόρων καναλιών. Αυτά περιλαμβάνουν παραβιασμένους ιστότοπους, συνημμένα στη δημοφιλή πλατφόρμα επικοινωνίας Discord και υπηρεσίες φιλοξενίας που παρέχονται από το Bitbucket. Επιπλέον, το Chameleon Android trojan μπορεί να υπερηφανεύεται για ένα ευρύ φάσμα επιβλαβών δυνατοτήτων, οι οποίες περιλαμβάνουν την κλοπή των διαπιστευτηρίων χρήστη μέσω επικαλύψεων και καταγραφής πληκτρολογίων, καθώς και τη συλλογή cookies και μηνυμάτων SMS από την παραβιασμένη συσκευή.
Πίνακας περιεχομένων
Ο Χαμαιλέοντας εκτελεί διάφορους ελέγχους κατά της ανίχνευσης
Κατά την εκτέλεση στη συσκευή Android που έχει παραβιαστεί, το κακόβουλο λογισμικό για φορητές συσκευές Chameleon χρησιμοποιεί διάφορες τεχνικές για να αποφύγει τον εντοπισμό από το λογισμικό ασφαλείας. Αυτές οι τακτικές περιλαμβάνουν ελέγχους κατά της εξομοίωσης για να διαπιστωθεί εάν η συσκευή είναι root και εάν έχει ενεργοποιηθεί ο εντοπισμός σφαλμάτων. Εάν η απειλή εντοπίσει ότι εκτελείται στο περιβάλλον ενός αναλυτή, μπορεί να ματαιώσει εντελώς τη διαδικασία μόλυνσης για να αποφευχθεί ο εντοπισμός.
Εάν διαπιστώσει ότι το περιβάλλον είναι ασφαλές, ο Chameleon συνεχίζει τον κακόβουλο προγραμματισμό του και ζητά από το θύμα να το εξουσιοδοτήσει να χρησιμοποιήσει την Υπηρεσία Προσβασιμότητας. Στη συνέχεια, αυτή η άδεια εκμεταλλεύεται την απειλή να παραχωρήσει στον εαυτό της πρόσθετα προνόμια, να απενεργοποιήσει το Google Play Protect και να εμποδίσει το θύμα να απεγκαταστήσει το Trojan.
Οι επιτιθέμενοι μπορούν να εκτελέσουν διάφορες απειλητικές δραστηριότητες μέσω του Chameleon Mobile Malware
Κατά τη δημιουργία σύνδεσης με τον διακομιστή Command and Control (C2), το κακόβουλο λογισμικό Chameleon ξεκινά την επικοινωνία στέλνοντας την έκδοση, το μοντέλο, την κατάσταση root, τη χώρα και την ακριβή τοποθεσία της συσκευής. Αυτό πιστεύεται ότι είναι μια προσπάθεια να διαμορφωθεί η νέα μόλυνση και να προσαρμοστούν ανάλογα οι δραστηριότητές της.
Στη συνέχεια, ανάλογα με την οντότητα που υποδύεται το κακόβουλο λογισμικό, ανοίγει μια νόμιμη διεύθυνση URL σε ένα WebView και ξεκινά τη φόρτωση κακόβουλων λειτουργικών μονάδων στο παρασκήνιο. Αυτές οι λειτουργικές μονάδες περιλαμβάνουν ένα πρόγραμμα κλοπής cookie, ένα καταγραφικό πληκτρολογίου, ένα πρόγραμμα εισαγωγής σελίδων ηλεκτρονικού ψαρέματος (phishing), ένα πρόγραμμα λήψης PIN/μοτίβου οθόνης κλειδώματος και ένα πρόγραμμα κλοπής SMS. Το τελευταίο είναι ιδιαίτερα ανησυχητικό καθώς μπορεί να εξάγει κωδικούς πρόσβασης μίας χρήσης, επιτρέποντας έτσι στους εισβολείς να παρακάμπτουν τις προστασίες ελέγχου ταυτότητας δύο παραγόντων.
Για να πραγματοποιήσει τις δραστηριότητές του στη συλλογή δεδομένων, το κακόβουλο λογισμικό Chameleon βασίζεται στην κατάχρηση των Υπηρεσιών Προσβασιμότητας. Αυτό παρέχει στο κακόβουλο λογισμικό τη δυνατότητα να παρακολουθεί το περιεχόμενο της οθόνης, να ανιχνεύει συγκεκριμένα συμβάντα, να τροποποιεί στοιχεία διεπαφής και να στέλνει τις απαραίτητες κλήσεις API όπως απαιτείται.
Το κακόβουλο λογισμικό Chameleon Mobile δημιουργεί ανθεκτικότητα σε μολυσμένες συσκευές
Εκτός από τις δραστηριότητες συλλογής δεδομένων, το κακόβουλο λογισμικό Chameleon αξιοποιεί επίσης τις Υπηρεσίες Προσβασιμότητας για να εμποδίσει την αφαίρεση της μη ασφαλούς εφαρμογής. Αυτό το επιτυγχάνει παρακολουθώντας τις προσπάθειες απεγκατάστασης από το θύμα και διαγράφοντας τις κοινές μεταβλητές προτιμήσεων που σχετίζονται με το κακόβουλο λογισμικό. Αυτό την κάνει να φαίνεται σαν να έχει απεγκατασταθεί η εφαρμογή όταν, στην πραγματικότητα, παραμένει στη συσκευή.
Επιπλέον, η εταιρεία κυβερνοασφάλειας Cyble ανακάλυψε κώδικα μέσα στο Chameleon που του επιτρέπει να κατεβάζει ένα ωφέλιμο φορτίο κατά τη διάρκεια εκτέλεσης και να το αποθηκεύει στη συσκευή υποδοχής ως αρχείο «.jar». Αυτό το αρχείο προορίζεται να εκτελεστεί αργότερα μέσω του DexClassLoader. Ωστόσο, αυτή η δυνατότητα δεν φαίνεται να χρησιμοποιείται αυτήν τη στιγμή από το κακόβουλο λογισμικό.
