Chameleon Mobile kenkėjiška programa
Nuo 2023 m. pradžios aptikta naujos formos Android Trojos arklys, vadinamas Chameleonu, skirtas naudotojams Australijoje ir Lenkijoje. Ši kenkėjiška programa sukurta imituoti teisėtus subjektus, tokius kaip CoinSpot kriptovaliutų birža, Australijos vyriausybinė agentūra, ir IKO bankas.
Kibernetinio saugumo įmonės „Cyble“ teigimu, manoma, kad šios mobiliosios kenkėjiškos programos buvo platinamos įvairiais kanalais. Tai apima pažeistas svetaines, populiarios komunikacijos platformos „Discord“ priedus ir „Bitbucket“ teikiamas prieglobos paslaugas. Be to, Chameleon Android Trojos arklys gali pasigirti daugybe žalingų galimybių, įskaitant vartotojo kredencialų vagystę naudojant perdangos injekcijas ir klavišų registravimą, taip pat slapukų ir SMS žinučių rinkimą iš pažeisto įrenginio.
Turinys
Chameleonas atlieka įvairius aptikimo patikrinimus
Vykdant pažeistame „Android“ įrenginyje, „Chameleon“ mobilioji kenkėjiška programa naudoja keletą metodų, kad išvengtų saugos programinės įrangos aptikimo. Ši taktika apima anti-emuliacijos patikrinimus, siekiant nustatyti, ar įrenginys yra įsišaknijęs ir ar buvo suaktyvintas derinimas. Jei grėsmė aptinka, kad ji veikia analitiko aplinkoje, ji gali visiškai nutraukti infekcijos procesą, kad būtų išvengta aptikimo.
Jei nustato, kad aplinka yra saugi, Chameleon tęsia savo kenkėjišką programavimą ir paragina auką leisti jai naudotis pritaikymo neįgaliesiems paslauga. Tada šiuo leidimu išnaudojama grėsmė suteikti sau papildomų privilegijų, išjungti „Google Play Protect“ ir neleisti aukai pašalinti Trojos arklys.
Užpuolikai gali atlikti įvairią grėsmingą veiklą naudodami Chameleon Mobile kenkėjišką programą
Užmezgus ryšį su Command and Control (C2) serveriu, Chameleon kenkėjiška programa pradeda ryšį siųsdama įrenginio versiją, modelį, šakninę būseną, šalį ir tikslią vietą. Manoma, kad taip bandoma apibūdinti naują infekciją ir atitinkamai pritaikyti jos veiklą.
Vėliau, priklausomai nuo subjekto, kuriuo apsimetinėja kenkėjiška programa, ji atidaro teisėtą URL „WebView“ ir fone pradeda kenkėjiškų modulių įkėlimą. Šiuos modulius sudaro slapukų vagystė, klavišų registravimo priemonė, sukčiavimo puslapių įpurškimo priemonė, užrakto ekrano PIN kodo / šablono griebtuvas ir SMS vagis. Pastarasis yra ypač susirūpinęs, nes gali išgauti vienkartinius slaptažodžius, todėl užpuolikai gali apeiti dviejų veiksnių autentifikavimo apsaugą.
Kad galėtų rinkti duomenis, „Chameleon“ kenkėjiška programa priklauso nuo piktnaudžiavimo prieinamumo paslaugomis. Tai suteikia kenkėjiškajai programai galimybę stebėti ekrano turinį, aptikti konkrečius įvykius, modifikuoti sąsajos elementus ir prireikus siųsti reikiamus API iškvietimus.
„Chameleon Mobile“ kenkėjiška programa užtikrina patvarumą užkrėstuose įrenginiuose
Be duomenų rinkimo, Chameleon kenkėjiška programa taip pat naudoja prieinamumo paslaugas, kad trukdytų pašalinti nesaugią programą. Tai pasiekiama stebint aukos bandymus pašalinti ir ištrinant bendrus su kenkėjiška programa susijusius pirmenybės kintamuosius. Dėl to atrodo, kad programa buvo pašalinta, nors iš tikrųjų ji lieka įrenginyje.
Be to, kibernetinio saugumo įmonė „Cyble“ atrado kodą „Chameleon“, leidžiantį atsisiųsti naudingą apkrovą veikiant ir išsaugoti jį pagrindiniame įrenginyje kaip „.jar“ failą. Šis failas skirtas vėliau vykdyti naudojant DexClassLoader. Tačiau atrodo, kad ši funkcija šiuo metu nenaudojama kenkėjiškų programų.
