Chameleon Mobile Malware

एन्ड्रोइड ट्रोजनको नयाँ रूप जसलाई 'Chameleon' भनिन्छ, २०२३ को सुरुदेखि नै अस्ट्रेलिया र पोल्याण्ड दुवैमा प्रयोगकर्ताहरूलाई लक्षित गर्दै पत्ता लागेको छ। यो विशेष मालवेयर CoinSpot क्रिप्टोकरेन्सी एक्सचेन्ज, अस्ट्रेलियाको सरकारी एजेन्सी, जस्ता वैध संस्थाहरूको नक्कल गर्न डिजाइन गरिएको हो। र IKO बैंक।

साइबरसेक्युरिटी फर्म साइबलका अनुसार यस मोबाइल मालवेयरको वितरण विभिन्न च्यानलहरूबाट भएको मानिन्छ। यसमा सम्झौता गरिएका वेबसाइटहरू, लोकप्रिय सञ्चार प्लेटफर्म Discord मा संलग्नहरू, र Bitbucket द्वारा प्रदान गरिएको होस्टिङ सेवाहरू समावेश छन्। थप रूपमा, Chameleon Android ट्रोजनले हानिकारक क्षमताहरूको फराकिलो स्पेक्ट्रमको गर्व गर्दछ, जसमा ओभरले इन्जेक्सनहरू र कीलगिङहरू मार्फत प्रयोगकर्ताको प्रमाणहरू चोरी हुने, साथै सम्झौता गरिएको यन्त्रबाट कुकीहरू र SMS सन्देशहरूको सङ्कलन समावेश छ।

गिरगिटले विभिन्न एन्टी-डिटेक्शन जाँचहरू प्रदर्शन गर्दछ

उल्लङ्घन गरिएको एन्ड्रोइड उपकरणमा कार्यान्वयनमा, Chameleon मोबाइल मालवेयरले सुरक्षा सफ्टवेयरद्वारा पत्ता लगाउनबाट बच्न धेरै प्रविधिहरू प्रयोग गर्दछ। यी कार्यनीतिहरूमा यन्त्र रुट छ कि छैन र डिबगिङ सक्रिय गरिएको छ कि छैन भनेर निर्धारण गर्न एन्टि-इमुलेशन जाँचहरू समावेश छन्। यदि खतराले पत्ता लगायो कि यो एक विश्लेषकको वातावरणमा चलिरहेको छ, यसले पत्ता लगाउनबाट बच्नको लागि संक्रमण प्रक्रियालाई पूर्ण रूपमा रद्द गर्न सक्छ।

यदि यसले वातावरण सुरक्षित छ भनी निर्धारण गर्छ भने, Chameleon यसको खराब प्रोग्रामिङको साथ अगाडि बढ्छ र पीडितलाई पहुँच सेवा प्रयोग गर्न अधिकार दिन प्रेरित गर्दछ। यस अनुमतिलाई त्यसपछि थप विशेषाधिकारहरू प्रदान गर्ने, गुगल प्ले प्रोटेक्ट बन्द गर्ने र पीडितलाई ट्रोजन अनइन्स्टल गर्नबाट रोक्ने खतराद्वारा शोषण गरिन्छ।

आक्रमणकारीहरूले Chameleon Mobile Malware मार्फत विभिन्न धम्कीपूर्ण गतिविधिहरू गर्न सक्छन्

कमाण्ड र कन्ट्रोल (C2) सर्भरसँग जडान स्थापना गरेपछि, Chameleon मालवेयरले यन्त्रको संस्करण, मोडेल, मूल स्थिति, देश, र सटीक स्थान पठाएर सञ्चार सुरु गर्छ। यो नयाँ संक्रमण प्रोफाइल र तदनुसार यसको गतिविधिहरू अनुरूप प्रयास हो भन्ने विश्वास गरिन्छ।

पछि, मालवेयरले प्रतिरूपण गरिरहेको संस्थाको आधारमा, यसले WebView मा वैध URL खोल्छ र पृष्ठभूमिमा खराब मोड्युलहरू लोड गर्न थाल्छ। यी मोड्युलहरूमा कुकी स्टिलर, किलगर, फिसिङ पृष्ठ इन्जेक्टर, लक स्क्रिन पिन/प्याटर्न ग्राबर, र एसएमएस चोर्ने समावेश छ। पछिल्लो विशेष गरी सम्बन्धित छ किनकि यसले एक-पटक पासवर्डहरू निकाल्न सक्छ, जसले आक्रमणकर्ताहरूलाई दुई-कारक प्रमाणीकरण सुरक्षाहरू बाइपास गर्न अनुमति दिन्छ।

यसको डेटा सङ्कलन गतिविधिहरू पूरा गर्न, Chameleon मालवेयर पहुँच सेवाहरूको दुरुपयोगमा निर्भर गर्दछ। यसले मालवेयरलाई स्क्रिन सामग्री निगरानी गर्ने, विशिष्ट घटनाहरू पत्ता लगाउने, इन्टरफेस तत्वहरू परिमार्जन गर्ने, र आवश्यक अनुसार आवश्यक API कलहरू पठाउने क्षमता प्रदान गर्दछ।

Chameleon Mobile Malware ले संक्रमित यन्त्रहरूमा दृढता स्थापित गर्दछ

यसको डेटा सङ्कलन गतिविधिहरूको अतिरिक्त, Chameleon मालवेयरले असुरक्षित अनुप्रयोग हटाउन बाधा पुर्‍याउन पहुँच सेवाहरू पनि प्रयोग गर्दछ। यसले पीडित द्वारा स्थापना रद्द गर्ने प्रयासहरू निगरानी गरेर र मालवेयरसँग सम्बन्धित साझा प्राथमिकता चरहरू मेटाएर यो पूरा गर्दछ। यसले यसलाई यन्त्रमा रहँदा एप अनइन्स्टल गरिएको जस्तो देखिन्छ।

यसबाहेक, साइबरसुरक्षा फर्म साइबलले Chameleon भित्र कोड पत्ता लगाएको छ जसले यसलाई रनटाइममा हुँदा पेलोड डाउनलोड गर्न र होस्ट उपकरणमा '.jar' फाइलको रूपमा बचत गर्न अनुमति दिन्छ। यो फाइल पछि DexClassLoader मार्फत कार्यान्वयन गर्ने उद्देश्यले गरिएको छ। यद्यपि, यो सुविधा हाल मालवेयरद्वारा प्रयोगमा रहेको देखिँदैन।