Chameleon Mobile Malware
A „Chameleon” néven emlegetett Android trójai új formáját észlelték, amely 2023 eleje óta célozza meg a felhasználókat Ausztráliában és Lengyelországban egyaránt. Ez a rosszindulatú program célja, hogy olyan törvényes entitásokat utánozzon, mint a CoinSpot kriptovaluta tőzsde, egy ausztrál kormányhivatal, és az IKO bank.
A Cyble kiberbiztonsági cég szerint ennek a mobil kártevőnek a terjesztése több csatornán keresztül történt. Ide tartoznak a feltört webhelyek, a népszerű Discord kommunikációs platform mellékletei, valamint a Bitbucket által nyújtott tárhelyszolgáltatások. Ezenkívül a Chameleon Android trójai a káros képességek széles skálájával büszkélkedhet, amelyek magukban foglalják a felhasználói hitelesítő adatok ellopását overlay injekciókkal és billentyűnaplózással, valamint a cookie-k és SMS-ek gyűjtését a feltört eszközről.
Tartalomjegyzék
A kaméleon különféle észlelési ellenőrzéseket végez
A feltört Android-eszközön végrehajtott Chameleon mobil kártevő számos technikát alkalmaz, hogy elkerülje a biztonsági szoftver általi észlelést. Ezek a taktikák magukban foglalják az emuláció elleni ellenőrzéseket annak megállapítására, hogy az eszköz rootolt-e, és hogy a hibakeresés aktiválva van-e. Ha a fenyegetés azt észleli, hogy elemzői környezetben fut, akkor az észlelés elkerülése érdekében teljesen megszakíthatja a fertőzési folyamatot.
Ha megállapítja, hogy a környezet biztonságos, a Chameleon folytatja a rosszindulatú programozást, és felkéri az áldozatot, hogy engedélyezze az akadálymentesítési szolgáltatás használatát. Ezt az engedélyt a fenyegetés kihasználva további jogosultságokat biztosít magának, kikapcsolja a Google Play Protectet, és megakadályozza, hogy az áldozat eltávolítsa a trójai programot.
A támadók különféle fenyegető tevékenységeket hajthatnak végre a Chameleon Mobile rosszindulatú programon keresztül
A Command and Control (C2) szerverrel való kapcsolat létesítésekor a Chameleon malware kommunikációt kezdeményez az eszköz verziójának, modelljének, gyökérállapotának, országának és pontos helyének elküldésével. Úgy gondolják, hogy ezzel próbálják profilozni az új fertőzést, és ennek megfelelően alakítani a tevékenységét.
Ezt követően attól függően, hogy a rosszindulatú program melyik entitást megszemélyesíti, egy legitim URL-t nyit meg a WebView-ban, és megkezdi a rosszindulatú modulok betöltését a háttérben. Ezek a modulok tartalmaznak egy cookie-lopót, egy billentyűnaplózót, egy adathalász oldal-injektort, egy képernyőzár PIN-kódot/mintafogót és egy SMS-lopót. Ez utóbbi különösen aggasztó, mivel képes egyszeri jelszavakat kivonni, így lehetővé teszi a támadók számára, hogy megkerüljék a kéttényezős hitelesítési védelmet.
A Chameleon rosszindulatú program adatgyűjtési tevékenységének végrehajtásához az akadálymentesítési szolgáltatásokkal való visszaélésre támaszkodik. Ez lehetővé teszi a rosszindulatú program számára, hogy figyelje a képernyő tartalmát, észleljen bizonyos eseményeket, módosítsa az interfész elemeit, és szükség szerint elküldje a szükséges API-hívásokat.
A Chameleon Mobile Malware tartósságot biztosít a fertőzött eszközökön
A Chameleon malware adatgyűjtési tevékenysége mellett az akadálymentesítési szolgáltatásokat is felhasználja, hogy megakadályozza a nem biztonságos alkalmazás eltávolítását. Ezt úgy éri el, hogy figyeli az áldozat eltávolítási kísérleteit, és törli a rosszindulatú programhoz kapcsolódó megosztott preferenciaváltozókat. Így úgy tűnik, mintha az alkalmazást eltávolították volna, miközben valójában az eszközön marad.
Ezenkívül a Cyble kiberbiztonsági cég olyan kódot fedezett fel a Chameleonban, amely lehetővé teszi, hogy futás közben töltsön le egy hasznos adatot, és „.jar” fájlként mentse el a gazdagépen. Ezt a fájlt később a DexClassLoader segítségével kell végrehajtani. Úgy tűnik azonban, hogy ezt a funkciót jelenleg nem használja a rosszindulatú program.
