بدافزار Chameleon Mobile

شکل جدیدی از تروجان اندروید به نام Chameleon شناسایی شده است که از ابتدای سال 2023 کاربران استرالیا و لهستان را مورد هدف قرار می دهد. و بانک IKO

به گفته شرکت امنیت سایبری Cyble، گمان می‌رود توزیع این بدافزار تلفن همراه از طریق کانال‌های مختلفی صورت گرفته است. اینها شامل وب سایت های در معرض خطر، پیوست ها در پلت فرم ارتباطی محبوب Discord و خدمات میزبانی ارائه شده توسط Bitbucket است. علاوه بر این، تروجان Chameleon Android دارای طیف گسترده‌ای از قابلیت‌های مضر است که شامل سرقت اطلاعات کاربری از طریق تزریق هم‌پوشانی و ثبت کلید، و همچنین مجموعه‌ای از کوکی‌ها و پیام‌های SMS از دستگاه در معرض خطر است.

آفتاب پرست چک های مختلف ضد تشخیص را انجام می دهد

بدافزار موبایل Chameleon پس از اجرا بر روی دستگاه اندرویدی نقض شده، از چندین تکنیک برای فرار از تشخیص توسط نرم افزار امنیتی استفاده می کند. این تاکتیک‌ها شامل بررسی‌های ضد شبیه‌سازی برای تعیین روت بودن دستگاه و فعال شدن اشکال زدایی است. اگر تهدید تشخیص دهد که در محیط یک تحلیلگر در حال اجرا است، ممکن است برای جلوگیری از شناسایی، فرآیند عفونت را به طور کلی متوقف کند.

اگر تشخیص دهد که محیط امن است، Chameleon برنامه‌ریزی مخرب خود را ادامه می‌دهد و از قربانی می‌خواهد که اجازه استفاده از سرویس دسترسی را بدهد. سپس این مجوز توسط تهدید برای اعطای امتیازات اضافی، خاموش کردن Google Play Protect و جلوگیری از حذف نصب تروجان توسط قربانی مورد سوء استفاده قرار می گیرد.

مهاجمان می توانند از طریق بدافزار Chameleon Mobile فعالیت های تهدیدآمیز مختلفی را انجام دهند

بدافزار Chameleon پس از برقراری ارتباط با سرور Command and Control (C2)، ارتباط را با ارسال نسخه، مدل، وضعیت ریشه، کشور و مکان دقیق دستگاه آغاز می‌کند. اعتقاد بر این است که این تلاشی برای نمایه کردن عفونت جدید و تنظیم فعالیت های آن بر اساس آن است.

متعاقباً، بسته به نهادی که بدافزار جعل هویت می‌کند، یک URL قانونی را در WebView باز می‌کند و بارگذاری ماژول‌های مخرب را در پس‌زمینه آغاز می‌کند. این ماژول ها شامل دزد کوکی، کی لاگر، انژکتور صفحه فیشینگ، پین قفل صفحه/قالب الگو و دزد پیامک می باشد. مورد دوم به ویژه نگران کننده است زیرا می تواند رمزهای عبور یک بار مصرف را استخراج کند و در نتیجه به مهاجمان اجازه می دهد تا از محافظت های احراز هویت دو مرحله ای عبور کنند.

بدافزار Chameleon برای انجام فعالیت‌های جمع‌آوری داده‌های خود به سوء استفاده از سرویس‌های دسترسی متکی است. این به بدافزار توانایی نظارت بر محتوای صفحه، شناسایی رویدادهای خاص، اصلاح عناصر رابط و ارسال تماس‌های API ضروری را در صورت لزوم می‌دهد.

بدافزار Chameleon Mobile پایداری را روی دستگاه های آلوده ایجاد می کند

بدافزار Chameleon علاوه بر فعالیت‌های جمع‌آوری داده، از سرویس‌های دسترسی نیز برای جلوگیری از حذف برنامه ناامن استفاده می‌کند. این کار را با نظارت بر تلاش‌های حذف نصب توسط قربانی و حذف متغیرهای ترجیحی مشترک مرتبط با بدافزار انجام می‌دهد. این باعث می شود به نظر برسد که برنامه حذف نصب شده است در حالی که در واقع روی دستگاه باقی می ماند.

علاوه بر این، شرکت امنیت سایبری Cyble کدی را در Chameleon کشف کرده است که به آن اجازه می‌دهد در زمان اجرا یک بار را دانلود کرده و آن را در دستگاه میزبان به عنوان فایل "jar" ذخیره کند. این فایل قرار است بعداً از طریق DexClassLoader اجرا شود. با این حال، به نظر نمی رسد که این ویژگی در حال حاضر توسط بدافزار استفاده شود.