Chameleon Mobile Malware
Novi oblik Android Trojanca koji se naziva 'Chameleon' otkriven je kako cilja korisnike u Australiji i Poljskoj od početka 2023. Ovaj određeni zlonamjerni softver dizajniran je da oponaša legitimne entitete kao što je CoinSpot burza kriptovaluta, australska vladina agencija, i IKO banka.
Prema tvrtki za kibernetičku sigurnost Cyble, vjeruje se da je do distribucije ovog mobilnog zlonamjernog softvera došlo kroz različite kanale. To uključuje kompromitirane web stranice, privitke na popularnoj komunikacijskoj platformi Discord i usluge hostinga koje pruža Bitbucket. Osim toga, trojanac Chameleon Android može se pohvaliti širokim spektrom štetnih mogućnosti, koje uključuju krađu korisničkih vjerodajnica putem preklapanja i keylogginga, kao i prikupljanje kolačića i SMS poruka s kompromitiranog uređaja.
Sadržaj
Chameleon izvodi razne provjere protiv otkrivanja
Nakon izvršenja na probijenom Android uređaju, mobilni zlonamjerni softver Chameleon koristi nekoliko tehnika kako bi izbjegao otkrivanje sigurnosnog softvera. Ove taktike uključuju provjere protiv emulacije kako bi se utvrdilo je li uređaj rootan i je li otklanjanje pogrešaka aktivirano. Ako prijetnja otkrije da se izvodi u okruženju analitičara, može u potpunosti prekinuti proces infekcije kako bi izbjegla otkrivanje.
Ako utvrdi da je okruženje sigurno, Chameleon nastavlja sa svojim zlonamjernim programiranjem i traži od žrtve da je autorizira za korištenje usluge pristupačnosti. Ovo dopuštenje zatim iskorištava prijetnja kako bi sebi dodijelila dodatne privilegije, isključila Google Play Protect i spriječila žrtvu da deinstalira trojanac.
Napadači mogu izvoditi razne prijeteće aktivnosti putem zlonamjernog softvera Chameleon Mobile
Nakon uspostavljanja veze s Command and Control (C2) poslužiteljem, Chameleon malware započinje komunikaciju slanjem verzije uređaja, modela, root statusa, zemlje i točne lokacije. Vjeruje se da je ovo pokušaj profiliranja nove infekcije i prilagođavanja njezinih aktivnosti u skladu s tim.
Nakon toga, ovisno o entitetu koji zlonamjerni softver oponaša, otvara legitimni URL u WebViewu i započinje učitavanje zlonamjernih modula u pozadini. Ovi moduli uključuju kradljivcu kolačića, keylogger, injektor stranice za krađu identiteta, alat za otimanje PIN-a/uzorka zaključanog zaslona i kradljivcu SMS-ova. Potonji je posebno zabrinjavajući jer može izvući jednokratne lozinke, dopuštajući tako napadačima da zaobiđu zaštitu dvofaktorske autentifikacije.
Za obavljanje svojih aktivnosti prikupljanja podataka, zlonamjerni softver Chameleon oslanja se na zlouporabu usluga pristupačnosti. To zlonamjernom softveru daje mogućnost nadziranja sadržaja zaslona, otkrivanja određenih događaja, izmjene elemenata sučelja i slanja potrebnih API poziva prema potrebi.
Zlonamjerni softver Chameleon Mobile uspostavlja postojanost na zaraženim uređajima
Uz svoje aktivnosti prikupljanja podataka, zlonamjerni softver Chameleon također koristi usluge pristupačnosti kako bi spriječio uklanjanje nesigurne aplikacije. To postiže nadgledanjem pokušaja deinstalacije od strane žrtve i brisanjem zajedničkih preferencijalnih varijabli povezanih sa zlonamjernim softverom. Zbog toga se čini da je aplikacija deinstalirana, a zapravo ostaje na uređaju.
Nadalje, tvrtka za kibernetičku sigurnost Cyble otkrila je kod unutar Chameleona koji mu omogućuje preuzimanje korisnog tereta tijekom izvođenja i spremanje na glavnom uređaju kao '.jar' datoteku. Ova je datoteka namijenjena kasnijem izvršavanju putem DexClassLoadera. Međutim, čini se da ovu značajku trenutno ne koristi zlonamjerni softver.
