Chameleon mobil skadelig programvare
En ny form for Android-trojaner referert til som 'kameleon' har blitt oppdaget rettet mot brukere i både Australia og Polen siden starten av 2023. Denne spesielle skadevare er utviklet for å etterligne legitime enheter som CoinSpot kryptovalutabørs, et australsk myndighetsorgan, og IKO-banken.
I følge nettsikkerhetsfirmaet Cyble, antas distribusjonen av denne mobile malware å ha skjedd gjennom ulike kanaler. Disse inkluderer kompromitterte nettsteder, vedlegg på den populære kommunikasjonsplattformen Discord, og vertstjenester levert av Bitbucket. I tillegg har Chameleon Android-trojaneren et bredt spekter av skadelige funksjoner, som omfatter tyveri av brukerlegitimasjon gjennom overleggsinjeksjoner og tastelogging, samt innsamling av informasjonskapsler og SMS-meldinger fra den kompromitterte enheten.
Innholdsfortegnelse
Chameleon utfører forskjellige anti-deteksjonskontroller
Ved henrettelse på den ødelagte Android-enheten bruker Chameleon mobile skadevare flere teknikker for å unngå oppdagelse av sikkerhetsprogramvare. Disse taktikkene inkluderer anti-emuleringssjekker for å finne ut om enheten er forankret og om feilsøking er aktivert. Hvis trusselen oppdager at den kjører i en analytikers miljø, kan den avbryte infeksjonsprosessen helt for å unngå oppdagelse.
Hvis den fastslår at miljøet er trygt, fortsetter Chameleon med sin ondsinnede programmering og ber offeret om å autorisere det til å bruke tilgjengelighetstjenesten. Denne tillatelsen blir deretter utnyttet av trusselen til å gi seg selv ytterligere privilegier, slå av Google Play Protect og forhindre offeret i å avinstallere trojaneren.
Angripere kan utføre forskjellige truende aktiviteter gjennom Chameleon Mobile Malware
Ved å etablere en forbindelse med Command and Control (C2)-serveren, starter Chameleon-skadevaren kommunikasjon ved å sende enhetens versjon, modell, rotstatus, land og nøyaktige plassering. Dette antas å være et forsøk på å profilere den nye infeksjonen og skreddersy aktivitetene deretter.
Deretter, avhengig av enheten som skadevaren utgir seg for, åpner den en legitim URL i en WebView og starter innlastingen av ondsinnede moduler i bakgrunnen. Disse modulene inkluderer en cookie-tyver, en keylogger, en phishing-sideinjektor, en låseskjerm-PIN/mønstergrabber og en SMS-tyver. Det siste er spesielt bekymringsfullt ettersom det kan trekke ut engangspassord, og dermed tillate angriperne å omgå tofaktorautentiseringsbeskyttelse.
For å utføre sine datainnsamlingsaktiviteter er Chameleon malware avhengig av misbruk av tilgjengelighetstjenester. Dette gir skadelig programvare muligheten til å overvåke skjerminnhold, oppdage spesifikke hendelser, endre grensesnittelementer og sende nødvendige API-anrop etter behov.
Chameleon Mobile Malware etablerer persistens på infiserte enheter
I tillegg til datainnsamlingsaktiviteter, utnytter Chameleon malware også tilgjengelighetstjenestene for å hindre fjerning av den usikre applikasjonen. Den oppnår dette ved å overvåke avinstallasjonsforsøk fra offeret og slette de delte preferansevariablene knyttet til skadelig programvare. Dette får det til å se ut som om appen er avinstallert når den faktisk forblir på enheten.
Videre har cybersikkerhetsfirmaet Cyble oppdaget kode i Chameleon som lar den laste ned en nyttelast mens den kjører og lagre den på vertsenheten som en '.jar'-fil. Denne filen er ment å kjøres senere via DexClassLoader. Denne funksjonen ser imidlertid ikke ut til å være i bruk av skadelig programvare.
