Chameleon Mobile -haittaohjelma
Uusi Android-troijalainen, nimeltään "Chameleon", on havaittu kohdistavan käyttäjiä sekä Australiassa että Puolassa vuoden 2023 alusta lähtien. Tämä haittaohjelma on suunniteltu jäljittelemään laillisia tahoja, kuten CoinSpot-kryptovaluuttapörssiä, Australian valtion virastoa, ja IKO-pankki.
Kyberturvallisuusyritys Cyblen mukaan tämän mobiilihaittaohjelman uskotaan tapahtuneen eri kanavien kautta. Näitä ovat vaarantuneet verkkosivustot, suositun Discord-viestintäalustan liitteet ja Bitbucketin tarjoamat isännöintipalvelut. Lisäksi Chameleon Android-troijalainen tarjoaa laajan kirjon haitallisia ominaisuuksia, joihin kuuluvat käyttäjätunnusten varastaminen peittokuvan lisäämisen ja näppäinlokituksen avulla sekä evästeiden ja tekstiviestien kerääminen vaarantuneelta laitteelta.
Sisällysluettelo
Kameleontti suorittaa erilaisia havaitsemisenestotarkastuksia
Kun Chameleon mobiilihaittaohjelma suoritetaan rikkoutuneella Android-laitteella, se käyttää useita tekniikoita välttääkseen tietoturvaohjelmiston havaitsemisen. Näihin taktiikoihin sisältyy emuloinnin estotarkistuksia sen määrittämiseksi, onko laite juurtunut ja onko virheenkorjaus aktivoitu. Jos uhka havaitsee, että se on käynnissä analyytikon ympäristössä, se voi keskeyttää tartuntaprosessin kokonaan havaitsemisen välttämiseksi.
Jos se toteaa, että ympäristö on turvallinen, Chameleon jatkaa haitallista ohjelmointiaan ja kehottaa uhria antamaan sille luvan käyttää esteettömyyspalvelua. Uhka käyttää tätä lupaa hyväkseen ja myöntää itselleen lisäoikeuksia, sammuttaa Google Play Protectin ja estää uhria poistamasta troijalaista.
Hyökkääjät voivat suorittaa erilaisia uhkaavia toimintoja Chameleon Mobile -haittaohjelman kautta
Muodostaessaan yhteyden Command and Control (C2) -palvelimeen Chameleon-haittaohjelma käynnistää tiedonsiirron lähettämällä laitteen version, mallin, juuritilan, maan ja tarkan sijainnin. Tämän uskotaan olevan yritys profiloida uusi infektio ja räätälöidä sen toimintaa sen mukaisesti.
Myöhemmin, riippuen entiteetistä, jota haittaohjelma esiintyy, se avaa laillisen URL-osoitteen WebView'ssa ja aloittaa haitallisten moduulien lataamisen taustalla. Näihin moduuleihin kuuluvat evästevarastaja, näppäinloggeri, tietojenkalastelusivujen injektori, lukitusnäytön PIN-koodin/kuvion sieppaaja ja tekstiviestivarastaja. Jälkimmäinen on erityisen huolestuttava, koska se voi poimia kertaluonteisia salasanoja, jolloin hyökkääjät voivat ohittaa kaksivaiheisen todennussuojauksen.
Chameleon-haittaohjelma käyttää tiedonkeruutoimintojaan esteettömyyspalveluiden väärinkäyttöön. Tämä antaa haittaohjelmalle mahdollisuuden valvoa näytön sisältöä, havaita tiettyjä tapahtumia, muokata käyttöliittymäelementtejä ja lähettää tarvittavia API-kutsuja tarpeen mukaan.
Chameleon Mobile -haittaohjelma varmistaa pysyvyyden tartunnan saaneilla laitteilla
Tiedonkeruutoimintojensa lisäksi Chameleon-haittaohjelma hyödyntää myös Accessibility Services -palvelua estääkseen vaarallisen sovelluksen poistamisen. Se saavuttaa tämän seuraamalla uhrin asennuksen poistoyrityksiä ja poistamalla haittaohjelmiin liittyvät jaetut asetusmuuttujat. Tämä saa vaikutelman siltä, että sovellus on poistettu, vaikka se itse asiassa on edelleen laitteessa.
Lisäksi kyberturvallisuusyritys Cyble on löytänyt Chameleonista koodin, jonka avulla se voi ladata hyötykuorman ajon aikana ja tallentaa sen isäntälaitteelle ".jar"-tiedostona. Tämä tiedosto on tarkoitettu suoritettavaksi myöhemmin DexClassLoaderin kautta. Tämä ominaisuus ei kuitenkaan näytä olevan tällä hetkellä haittaohjelman käytössä.
