Chameleon mobiele malware
Sinds begin 2023 is een nieuwe vorm van Android-trojan genaamd 'Chameleon' gedetecteerd die zich richt op gebruikers in zowel Australië als Polen. Deze specifieke malware is ontworpen om legitieme entiteiten na te bootsen, zoals de CoinSpot cryptocurrency exchange, een Australische overheidsinstantie, en de IKO-bank.
Volgens cyberbeveiligingsbedrijf Cyble zou de verspreiding van deze mobiele malware via verschillende kanalen hebben plaatsgevonden. Het gaat onder meer om gecompromitteerde websites, bijlagen op het populaire communicatieplatform Discord en hostingdiensten van Bitbucket. Bovendien beschikt de Chameleon Android-trojan over een breed spectrum aan schadelijke mogelijkheden, waaronder de diefstal van gebruikersreferenties door middel van overlay-injecties en keylogging, evenals het verzamelen van cookies en sms-berichten van het gecompromitteerde apparaat.
Inhoudsopgave
Chameleon voert verschillende antidetectiecontroles uit
Bij uitvoering op het geschonden Android-apparaat gebruikt de mobiele Chameleon-malware verschillende technieken om detectie door beveiligingssoftware te omzeilen. Deze tactieken omvatten anti-emulatiecontroles om te bepalen of het apparaat is geroot en of foutopsporing is geactiveerd. Als de dreiging detecteert dat deze wordt uitgevoerd in de omgeving van een analist, kan deze het infectieproces helemaal afbreken om detectie te voorkomen.
Als het vaststelt dat de omgeving veilig is, gaat Chameleon verder met zijn kwaadaardige programmering en vraagt het slachtoffer om het te autoriseren om de toegankelijkheidsservice te gebruiken. Deze toestemming wordt vervolgens misbruikt door de dreiging om zichzelf extra privileges te verlenen, Google Play Protect uit te schakelen en te voorkomen dat het slachtoffer de trojan verwijdert.
Aanvallers kunnen verschillende bedreigende activiteiten uitvoeren via Chameleon Mobile Malware
Na het tot stand brengen van een verbinding met de Command and Control (C2)-server, start de Chameleon-malware de communicatie door de versie, het model, de rootstatus, het land en de exacte locatie van het apparaat te verzenden. Aangenomen wordt dat dit een poging is om de nieuwe infectie te profileren en zijn activiteiten daarop af te stemmen.
Vervolgens opent het, afhankelijk van de entiteit die de malware nabootst, een legitieme URL in een WebView en begint het laden van kwaadaardige modules op de achtergrond. Deze modules bevatten een cookie-stealer, een keylogger, een phishing-pagina-injector, een pincode-/patroongrabber voor het vergrendelscherm en een sms-stealer. Vooral dat laatste is zorgwekkend omdat het eenmalige wachtwoorden kan extraheren, waardoor aanvallers tweefactorauthenticatiebeveiligingen kunnen omzeilen.
Om zijn gegevensverzamelingsactiviteiten uit te voeren, vertrouwt de Chameleon-malware op misbruik van toegankelijkheidsservices. Dit geeft de malware de mogelijkheid om scherminhoud te monitoren, specifieke gebeurtenissen te detecteren, interface-elementen aan te passen en de nodige API-oproepen te verzenden, zoals vereist.
De mobiele malware van Chameleon zorgt voor persistentie op geïnfecteerde apparaten
Naast zijn activiteiten voor het verzamelen van gegevens, maakt de Chameleon-malware ook gebruik van de toegankelijkheidsservices om de verwijdering van de onveilige applicatie te belemmeren. Het bereikt dit door de verwijderingspogingen van het slachtoffer te volgen en de gedeelde voorkeursvariabelen die aan de malware zijn gekoppeld, te verwijderen. Hierdoor lijkt het alsof de app is verwijderd, terwijl deze in feite op het apparaat blijft staan.
Bovendien heeft cyberbeveiligingsbedrijf Cyble code ontdekt in Chameleon waarmee het tijdens runtime een payload kan downloaden en op het hostapparaat kan opslaan als een '.jar'-bestand. Dit bestand is bedoeld om later via DexClassLoader te worden uitgevoerd. Deze functie lijkt momenteel echter niet door de malware te worden gebruikt.
