Chameleon Mobile'i pahavara
Alates 2023. aasta algusest on tuvastatud Androidi trooja uus vorm, mida nimetatakse "Chameleon", mis sihib kasutajaid nii Austraalias kui ka Poolas. See konkreetne pahavara on loodud selleks, et jäljendada seaduslikke üksusi, nagu CoinSpoti krüptovaluutavahetus, Austraalia valitsusasutus, ja IKO pank.
Küberjulgeolekufirma Cyble sõnul on selle mobiili pahavara levitamine toimunud erinevate kanalite kaudu. Nende hulka kuuluvad ohustatud veebisaidid, populaarse suhtlusplatvormi Discord manused ja Bitbucketi pakutavad hostimisteenused. Lisaks on Chameleon Androidi troojal lai valik kahjulikke võimalusi, mis hõlmavad kasutaja mandaatide vargust ülekatte süstimise ja klahvilogimise kaudu, samuti küpsiste ja SMS-sõnumite kogumist ohustatud seadmest.
Sisukord
Kameeleon teeb mitmesuguseid tuvastamisvastaseid kontrolle
Rikutud Android-seadmes käivitamisel kasutab Chameleoni mobiilne pahavara mitut tehnikat, et vältida turvatarkvara tuvastamist. Need taktikad hõlmavad emulatsioonivastaseid kontrolle, et teha kindlaks, kas seade on juurdunud ja kas silumine on aktiveeritud. Kui oht tuvastab, et see töötab analüütiku keskkonnas, võib see nakkusprotsessi tuvastamise vältimiseks täielikult katkestada.
Kui ta teeb kindlaks, et keskkond on ohutu, jätkab Chameleon oma pahatahtlikku programmeerimist ja palub ohvril lubada tal kasutada juurdepääsetavuse teenust. Seda luba kasutab oht endale lisaõiguste andmiseks, Google Play Protecti väljalülitamiseks ja ohvril troojalase desinstallimise takistamiseks.
Ründajad saavad Chameleon Mobile'i pahavara kaudu sooritada mitmesuguseid ähvardavaid tegevusi
Ühenduse loomisel Command and Control (C2) serveriga alustab Chameleoni pahavara sidet, saates seadme versiooni, mudeli, juurtaseme, riigi ja täpse asukoha. Arvatakse, et see on katse kujundada uut infektsiooni profiili ja kohandada selle tegevust vastavalt.
Seejärel avab see olenevalt entiteedist, mida pahavara esineb, WebView's seadusliku URL-i ja alustab taustal pahatahtlike moodulite laadimist. Need moodulid hõlmavad küpsiste varastajat, klahvilogijat, andmepüügilehe süstijat, lukustuskuva PIN-koodi/mustrite haarajat ja SMS-i varastajat. Viimane on eriti murettekitav, kuna see suudab eraldada ühekordseid paroole, võimaldades seeläbi ründajatel kahefaktorilisest autentimiskaitsest mööda minna.
Andmete kogumiseks tugineb pahavara Chameleon juurdepääsetavuse teenuste kuritarvitamisele. See annab pahavarale võimaluse jälgida ekraani sisu, tuvastada konkreetseid sündmusi, muuta liidese elemente ja saata vastavalt vajadusele vajalikke API-kutseid.
Chameleon Mobile'i pahavara tagab püsivuse nakatunud seadmetes
Lisaks andmete kogumistegevusele kasutab Chameleoni pahavara ka juurdepääsetavuse teenuseid, et takistada ebaturvalise rakenduse eemaldamist. See saavutab selle, jälgides ohvri desinstallimiskatseid ja kustutades pahavaraga seotud jagatud eelistuste muutujad. See jätab mulje, nagu oleks rakendus desinstallitud, kuigi see jääb seadmesse alles.
Lisaks on küberturbefirma Cyble avastanud Chameleonist koodi, mis võimaldab tal käivitamise ajal kasulikku lasti alla laadida ja salvestada see hostseadmesse .jar-failina. See fail on ette nähtud hiljem käivitamiseks DexClassLoaderi kaudu. Paistab aga, et seda funktsiooni pahavara praegu ei kasuta.
