Hasad Mudah Alih Chameleon
Bentuk baharu Android Trojan yang dirujuk sebagai 'Chameleon,' telah dikesan menyasarkan pengguna di Australia dan Poland sejak awal tahun 2023. Perisian hasad khusus ini direka bentuk untuk meniru entiti yang sah seperti pertukaran mata wang kripto CoinSpot, sebuah agensi kerajaan Australia, dan bank IKO.
Menurut firma keselamatan siber Cyble, pengedaran perisian hasad mudah alih ini dipercayai berlaku melalui pelbagai saluran. Ini termasuk tapak web yang terjejas, lampiran pada platform komunikasi popular Discord, dan perkhidmatan pengehosan yang disediakan oleh Bitbucket. Selain itu, trojan Android Chameleon mempunyai spektrum luas keupayaan berbahaya, yang terdiri daripada pencurian bukti kelayakan pengguna melalui suntikan tindanan dan pengelogan kekunci, serta pengumpulan kuki dan mesej SMS daripada peranti yang terjejas.
Isi kandungan
Chameleon Melakukan Pelbagai Pemeriksaan Anti-Pengesanan
Selepas pelaksanaan pada peranti Android yang dilanggar, perisian hasad mudah alih Chameleon menggunakan beberapa teknik untuk mengelakkan pengesanan oleh perisian keselamatan. Taktik ini termasuk semakan anti-emulasi untuk menentukan sama ada peranti berakar dan sama ada nyahpepijat telah diaktifkan. Jika ancaman mengesan bahawa ia berjalan dalam persekitaran penganalisis, ia mungkin membatalkan proses jangkitan sama sekali untuk mengelakkan pengesanan.
Jika ia menentukan bahawa persekitaran adalah selamat, Chameleon meneruskan dengan pengaturcaraan berniat jahat dan menggesa mangsa untuk membenarkannya menggunakan Perkhidmatan Kebolehcapaian. Kebenaran ini kemudiannya dieksploitasi oleh ancaman untuk memberikan dirinya keistimewaan tambahan, mematikan Google Play Protect dan menghalang mangsa daripada menyahpasang Trojan.
Penyerang boleh Melakukan Pelbagai Aktiviti Mengancam melalui Hasad Mudah Alih Chameleon
Setelah mewujudkan sambungan dengan pelayan Perintah dan Kawalan (C2), perisian hasad Chameleon memulakan komunikasi dengan menghantar versi peranti, model, status akar, negara dan lokasi yang tepat. Ini dipercayai sebagai percubaan untuk memprofilkan jangkitan baharu dan menyesuaikan aktivitinya dengan sewajarnya.
Selepas itu, bergantung pada entiti yang perisian hasad menyamar, ia membuka URL yang sah dalam WebView dan memulakan pemuatan modul berniat jahat di latar belakang. Modul ini termasuk pencuri kuki, keylogger, penyuntik halaman pancingan data, perebut PIN/corak skrin kunci dan pencuri SMS. Yang terakhir ini amat membimbangkan kerana ia boleh mengekstrak kata laluan sekali, dengan itu membenarkan penyerang memintas perlindungan pengesahan dua faktor.
Untuk menjalankan aktiviti pengumpulan datanya, perisian hasad Chameleon bergantung pada penyalahgunaan Perkhidmatan Kebolehcapaian. Ini memberikan perisian hasad keupayaan untuk memantau kandungan skrin, mengesan peristiwa tertentu, mengubah suai elemen antara muka dan menghantar panggilan API yang diperlukan seperti yang diperlukan.
Hasad Mudah Alih Chameleon Mewujudkan Kegigihan pada Peranti Yang Dijangkiti
Sebagai tambahan kepada aktiviti pengumpulan datanya, perisian hasad Chameleon juga memanfaatkan Perkhidmatan Kebolehcapaian untuk menghalang pengalihan keluar aplikasi yang tidak selamat. Ia mencapai ini dengan memantau percubaan menyahpasang oleh mangsa dan memadamkan pembolehubah keutamaan dikongsi yang dikaitkan dengan perisian hasad. Ini menjadikan ia kelihatan seolah-olah apl telah dinyahpasang apabila, sebenarnya, ia kekal pada peranti.
Tambahan pula, firma keselamatan siber Cyble telah menemui kod dalam Chameleon yang membenarkannya memuat turun muatan semasa dalam masa jalan dan menyimpannya pada peranti hos sebagai fail '.jar'. Fail ini bertujuan untuk dilaksanakan kemudian melalui DexClassLoader. Walau bagaimanapun, ciri ini nampaknya tidak digunakan oleh perisian hasad pada masa ini.
