Camaleonte Mobile Malware
Dall'inizio del 2023 è stata rilevata una nuova forma di trojan Android denominata "Chameleon" che prende di mira utenti sia in Australia che in Polonia. Questo particolare malware è progettato per imitare entità legittime come l'exchange di criptovalute CoinSpot, un'agenzia governativa australiana, e la banca IKO.
Secondo la società di sicurezza informatica Cyble, si ritiene che la distribuzione di questo malware mobile sia avvenuta attraverso vari canali. Questi includono siti Web compromessi, allegati sulla popolare piattaforma di comunicazione Discord e servizi di hosting forniti da Bitbucket. Inoltre, il trojan Android Chameleon vanta un ampio spettro di funzionalità dannose, che comprendono il furto delle credenziali dell'utente tramite iniezioni di overlay e keylogging, nonché la raccolta di cookie e messaggi SMS dal dispositivo compromesso.
Sommario
Chameleon esegue vari controlli anti-rilevamento
Al momento dell'esecuzione sul dispositivo Android violato, il malware mobile Chameleon impiega diverse tecniche per eludere il rilevamento da parte del software di sicurezza. Queste tattiche includono controlli anti-emulazione per determinare se il dispositivo è rootato e se è stato attivato il debug. Se la minaccia rileva che è in esecuzione nell'ambiente di un analista, potrebbe interrompere del tutto il processo di infezione per evitare il rilevamento.
Se determina che l'ambiente è sicuro, Chameleon procede con la sua programmazione dannosa e richiede alla vittima di autorizzarla a utilizzare il servizio di accessibilità. Questa autorizzazione viene quindi sfruttata dalla minaccia per concedersi ulteriori privilegi, disattivare Google Play Protect e impedire alla vittima di disinstallare il trojan.
Gli aggressori possono eseguire varie attività minacciose tramite Chameleon Mobile Malware
Dopo aver stabilito una connessione con il server Command and Control (C2), il malware Chameleon avvia la comunicazione inviando la versione, il modello, lo stato root, il paese e la posizione precisa del dispositivo. Si ritiene che questo sia un tentativo di profilare la nuova infezione e adattare le sue attività di conseguenza.
Successivamente, a seconda dell'entità che il malware sta impersonando, apre un URL legittimo in una WebView e avvia il caricamento di moduli dannosi in background. Questi moduli includono un cookie stealer, un keylogger, un phishing page injector, un lock screen PIN/pattern grabber e un SMS stealer. Quest'ultimo è particolarmente preoccupante in quanto può estrarre password monouso, consentendo così agli aggressori di aggirare le protezioni di autenticazione a due fattori.
Per svolgere le sue attività di raccolta dati, il malware Chameleon si affida all'abuso dei servizi di accessibilità. Ciò garantisce al malware la possibilità di monitorare il contenuto dello schermo, rilevare eventi specifici, modificare gli elementi dell'interfaccia e inviare le chiamate API necessarie come richiesto.
Il malware mobile Chameleon stabilisce la persistenza sui dispositivi infetti
Oltre alle sue attività di raccolta dati, il malware Chameleon sfrutta anche i servizi di accessibilità per impedire la rimozione dell'applicazione non sicura. Lo fa monitorando i tentativi di disinstallazione da parte della vittima ed eliminando le variabili delle preferenze condivise associate al malware. Questo fa sembrare che l'app sia stata disinstallata quando, in realtà, rimane sul dispositivo.
Inoltre, la società di sicurezza informatica Cyble ha scoperto un codice all'interno di Chameleon che gli consente di scaricare un payload durante il runtime e di salvarlo sul dispositivo host come file ".jar". Questo file deve essere eseguito successivamente tramite DexClassLoader. Tuttavia, questa funzione non sembra essere attualmente utilizzata dal malware.
