Chameleon Mobile ļaunprātīga programmatūra
Kopš 2023. gada sākuma ir atklāts jauns Android Trojas zirga veids, kas tiek dēvēts par “Hameleonu”, kas ir paredzēts lietotājiem gan Austrālijā, gan Polijā. Šī konkrētā ļaunprogrammatūra ir izstrādāta, lai atdarinātu likumīgas vienības, piemēram, CoinSpot kriptovalūtu biržu, Austrālijas valdības aģentūru, un IKO banka.
Saskaņā ar kiberdrošības firmas Cyble teikto, tiek uzskatīts, ka šīs mobilās ļaunprogrammatūras izplatīšana ir notikusi, izmantojot dažādus kanālus. Tie ietver apdraudētas vietnes, pielikumus populārajā saziņas platformā Discord un mitināšanas pakalpojumus, ko nodrošina Bitbucket. Turklāt Android Trojas zirgam Chameleon ir plašs kaitīgu iespēju spektrs, kas ietver lietotāja akreditācijas datu zādzību, izmantojot pārklājuma injekcijas un taustiņu reģistrēšanu, kā arī sīkfailu un SMS ziņojumu vākšanu no apdraudētās ierīces.
Satura rādītājs
Hameleons veic dažādas pretatklāšanas pārbaudes
Pēc izpildes uzlauztajā Android ierīcē Chameleon mobilā ļaunprogrammatūra izmanto vairākas metodes, lai izvairītos no drošības programmatūras atklāšanas. Šī taktika ietver pretemulācijas pārbaudes, lai noteiktu, vai ierīcei ir saknes un vai ir aktivizēta atkļūdošana. Ja drauds konstatē, ka tas darbojas analītiķa vidē, tas var pilnībā pārtraukt infekcijas procesu, lai izvairītos no atklāšanas.
Ja tas konstatē, ka vide ir droša, Chameleon turpina savu ļaunprātīgo programmēšanu un aicina upuri pilnvarot to izmantot pieejamības pakalpojumu. Pēc tam šo atļauju izmanto draudi, lai piešķirtu sev papildu privilēģijas, izslēgtu Google Play Protect un neļautu upurim atinstalēt Trojas zirgu.
Uzbrucēji var veikt dažādas apdraudošas darbības, izmantojot Chameleon Mobile ļaunprātīgu programmatūru
Izveidojot savienojumu ar Command and Control (C2) serveri, ļaunprogrammatūra Chameleon uzsāk saziņu, nosūtot ierīces versiju, modeli, saknes statusu, valsti un precīzu atrašanās vietu. Tiek uzskatīts, ka tas ir mēģinājums profilēt jauno infekciju un atbilstoši pielāgot tās aktivitātes.
Pēc tam atkarībā no entītijas, ar kuru ļaunprātīga programmatūra uzdodas, tā atver likumīgu URL WebView un sāk ļaunprātīgu moduļu ielādi fonā. Šajos moduļos ietilpst sīkfailu zaglis, taustiņu bloķētājs, pikšķerēšanas lapas inžektors, bloķēšanas ekrāna PIN/rakstu uztvērējs un SMS zaglis. Pēdējais ir īpaši satraucošs, jo tas var iegūt vienreizējas paroles, tādējādi ļaujot uzbrucējiem apiet divu faktoru autentifikācijas aizsardzību.
Lai veiktu datu vākšanas darbības, ļaunprogrammatūra Chameleon paļaujas uz pieejamības pakalpojumu ļaunprātīgu izmantošanu. Tas nodrošina ļaunprātīgai programmatūrai iespēju pārraudzīt ekrāna saturu, noteikt konkrētus notikumus, modificēt interfeisa elementus un pēc vajadzības nosūtīt nepieciešamos API zvanus.
Chameleon Mobile ļaunprogrammatūra nodrošina noturību inficētās ierīcēs
Papildus datu vākšanas darbībām ļaunprogrammatūra Chameleon izmanto arī pieejamības pakalpojumus, lai kavētu nedrošās lietojumprogrammas noņemšanu. Tas tiek panākts, pārraugot upura atinstalēšanas mēģinājumus un dzēšot kopīgos preferenču mainīgos, kas saistīti ar ļaunprātīgu programmatūru. Tādējādi šķiet, ka lietotne ir atinstalēta, lai gan faktiski tā paliek ierīcē.
Turklāt kiberdrošības uzņēmums Cyble ir atklājis Chameleon kodu, kas ļauj lejupielādēt lietderīgo slodzi izpildlaikā un saglabāt to resursdatora ierīcē kā “.jar” failu. Šo failu ir paredzēts izpildīt vēlāk, izmantojot DexClassLoader. Tomēr šķiet, ka šī funkcija pašlaik netiek izmantota ļaunprātīgai programmatūrai.
