תוכנת זדונית ניידת של Chameleon
צורה חדשה של אנדרואיד טרויאני המכונה 'זיקית', זוהתה המכוונת למשתמשים הן באוסטרליה והן בפולין מאז תחילת 2023. תוכנה זדונית ספציפית זו נועדה לחקות ישויות לגיטימיות כגון בורסת המטבעות הקריפטוגרפיים CoinSpot, סוכנות ממשלתית אוסטרלית, ובנק IKO.
לפי חברת אבטחת הסייבר Cyble, ההפצה של תוכנה זדונית ניידת זו התרחשה בערוצים שונים. אלה כוללים אתרי אינטרנט שנפגעו, קבצים מצורפים בפלטפורמת התקשורת הפופולרית Discord ושירותי אירוח המסופקים על ידי Bitbucket. בנוסף, הטרויאני Chameleon Android מתגאה בספקטרום רחב של יכולות מזיקות, הכוללות גניבה של אישורי משתמש באמצעות הזרקת שכבת-על ורישום מפתחות, כמו גם איסוף של קובצי Cookie והודעות SMS מהמכשיר שנפרץ.
תוכן העניינים
זיקית מבצעת בדיקות נגד גילוי שונות
עם ביצוע במכשיר האנדרואיד הפרוץ, התוכנה הזדונית הניידת של Chameleon משתמשת במספר טכניקות כדי לחמוק מזיהוי על ידי תוכנת אבטחה. טקטיקות אלו כוללות בדיקות אנטי-אמולציה כדי לקבוע אם המכשיר מושרש ואם ניפוי באגים הופעל. אם האיום מזהה שהוא פועל בסביבת אנליסט, הוא עשוי לבטל לחלוטין את תהליך ההדבקה כדי למנוע זיהוי.
אם היא קובעת שהסביבה בטוחה, Chameleon ממשיכה בתכנות הזדוני שלה ומנחה את הקורבן לאשר לו להשתמש בשירות הנגישות. הרשאה זו מנוצלת על ידי האיום כדי להעניק לעצמו הרשאות נוספות, לכבות את Google Play Protect ולמנוע מהקורבן להסיר את ההתקנה של הטרויאני.
תוקפים יכולים לבצע פעילויות מאיימות שונות באמצעות תוכנת זדונית ניידת של Chameleon
עם יצירת חיבור עם שרת הפיקוד והבקרה (C2), התוכנה הזדונית Chameleon יוזמת תקשורת על ידי שליחת גרסת המכשיר, הדגם, סטטוס השורש, המדינה והמיקום המדויק של המכשיר. מאמינים כי מדובר בניסיון ליצור פרופיל של הזיהום החדש ולהתאים את פעילותו בהתאם.
לאחר מכן, בהתאם לישות שהתוכנה הזדונית מתחזה, היא פותחת כתובת URL לגיטימית ב-WebView ומתחילה בטעינת מודולים זדוניים ברקע. מודולים אלה כוללים גניבת עוגיות, מכשיר מפתחות, מזריק דפי פישינג, חוטף PIN/דפוסים למסך נעילה וגניבת SMS. האחרון מדאיג במיוחד מכיוון שהוא יכול לחלץ סיסמאות חד פעמיות, ובכך לאפשר לתוקפים לעקוף הגנות אימות דו-גורמי.
כדי לבצע את פעילות איסוף הנתונים שלה, התוכנה הזדונית של Chameleon מסתמכת על שימוש לרעה בשירותי נגישות. זה מעניק לתוכנה הזדונית את היכולת לנטר את תוכן המסך, לזהות אירועים ספציפיים, לשנות רכיבי ממשק ולשלוח קריאות API נחוצות לפי הצורך.
תוכנת זדונית ניידת של Chameleon מבססת התמדה במכשירים נגועים
בנוסף לפעילויות איסוף הנתונים שלה, התוכנה הזדונית של Chameleon ממנפת גם את שירותי הנגישות כדי למנוע את הסרת האפליקציה הלא בטוחה. זה משיג זאת על ידי ניטור ניסיונות הסרת ההתקנה על ידי הקורבן ומחיקת משתני ההעדפות המשותפים הקשורים לתוכנה הזדונית. זה גורם לזה להיראות כאילו האפליקציה הוסרה כאשר, למעשה, היא נשארת במכשיר.
יתר על כן, חברת אבטחת הסייבר Cyble גילתה קוד בתוך Chameleon המאפשר לה להוריד מטען בזמן ריצה ולשמור אותו במכשיר המארח כקובץ '.jar'. קובץ זה מיועד לביצוע מאוחר יותר באמצעות DexClassLoader. עם זאת, נראה שתכונה זו אינה בשימוש כעת על ידי התוכנה הזדונית.
