بدافزار Chameleon Mobile
شکل جدیدی از تروجان اندروید به نام Chameleon شناسایی شده است که از ابتدای سال 2023 کاربران استرالیا و لهستان را مورد هدف قرار می دهد. و بانک IKO
به گفته شرکت امنیت سایبری Cyble، گمان میرود توزیع این بدافزار تلفن همراه از طریق کانالهای مختلفی صورت گرفته است. اینها شامل وب سایت های در معرض خطر، پیوست ها در پلت فرم ارتباطی محبوب Discord و خدمات میزبانی ارائه شده توسط Bitbucket است. علاوه بر این، تروجان Chameleon Android دارای طیف گستردهای از قابلیتهای مضر است که شامل سرقت اطلاعات کاربری از طریق تزریق همپوشانی و ثبت کلید، و همچنین مجموعهای از کوکیها و پیامهای SMS از دستگاه در معرض خطر است.
فهرست مطالب
آفتاب پرست چک های مختلف ضد تشخیص را انجام می دهد
بدافزار موبایل Chameleon پس از اجرا بر روی دستگاه اندرویدی نقض شده، از چندین تکنیک برای فرار از تشخیص توسط نرم افزار امنیتی استفاده می کند. این تاکتیکها شامل بررسیهای ضد شبیهسازی برای تعیین روت بودن دستگاه و فعال شدن اشکال زدایی است. اگر تهدید تشخیص دهد که در محیط یک تحلیلگر در حال اجرا است، ممکن است برای جلوگیری از شناسایی، فرآیند عفونت را به طور کلی متوقف کند.
اگر تشخیص دهد که محیط امن است، Chameleon برنامهریزی مخرب خود را ادامه میدهد و از قربانی میخواهد که اجازه استفاده از سرویس دسترسی را بدهد. سپس این مجوز توسط تهدید برای اعطای امتیازات اضافی، خاموش کردن Google Play Protect و جلوگیری از حذف نصب تروجان توسط قربانی مورد سوء استفاده قرار می گیرد.
مهاجمان می توانند از طریق بدافزار Chameleon Mobile فعالیت های تهدیدآمیز مختلفی را انجام دهند
بدافزار Chameleon پس از برقراری ارتباط با سرور Command and Control (C2)، ارتباط را با ارسال نسخه، مدل، وضعیت ریشه، کشور و مکان دقیق دستگاه آغاز میکند. اعتقاد بر این است که این تلاشی برای نمایه کردن عفونت جدید و تنظیم فعالیت های آن بر اساس آن است.
متعاقباً، بسته به نهادی که بدافزار جعل هویت میکند، یک URL قانونی را در WebView باز میکند و بارگذاری ماژولهای مخرب را در پسزمینه آغاز میکند. این ماژول ها شامل دزد کوکی، کی لاگر، انژکتور صفحه فیشینگ، پین قفل صفحه/قالب الگو و دزد پیامک می باشد. مورد دوم به ویژه نگران کننده است زیرا می تواند رمزهای عبور یک بار مصرف را استخراج کند و در نتیجه به مهاجمان اجازه می دهد تا از محافظت های احراز هویت دو مرحله ای عبور کنند.
بدافزار Chameleon برای انجام فعالیتهای جمعآوری دادههای خود به سوء استفاده از سرویسهای دسترسی متکی است. این به بدافزار توانایی نظارت بر محتوای صفحه، شناسایی رویدادهای خاص، اصلاح عناصر رابط و ارسال تماسهای API ضروری را در صورت لزوم میدهد.
بدافزار Chameleon Mobile پایداری را روی دستگاه های آلوده ایجاد می کند
بدافزار Chameleon علاوه بر فعالیتهای جمعآوری داده، از سرویسهای دسترسی نیز برای جلوگیری از حذف برنامه ناامن استفاده میکند. این کار را با نظارت بر تلاشهای حذف نصب توسط قربانی و حذف متغیرهای ترجیحی مشترک مرتبط با بدافزار انجام میدهد. این باعث می شود به نظر برسد که برنامه حذف نصب شده است در حالی که در واقع روی دستگاه باقی می ماند.
علاوه بر این، شرکت امنیت سایبری Cyble کدی را در Chameleon کشف کرده است که به آن اجازه میدهد در زمان اجرا یک بار را دانلود کرده و آن را در دستگاه میزبان به عنوان فایل "jar" ذخیره کند. این فایل قرار است بعداً از طریق DexClassLoader اجرا شود. با این حال، به نظر نمی رسد که این ویژگی در حال حاضر توسط بدافزار استفاده شود.