Mobilne złośliwe oprogramowanie Chameleon
Od początku 2023 roku wykryto nową formę trojana dla systemu Android, określaną jako „Chameleon”, atakującą użytkowników zarówno w Australii, jak iw Polsce. To konkretne złośliwe oprogramowanie ma na celu naśladowanie legalnych podmiotów, takich jak giełda kryptowalut CoinSpot, australijska agencja rządowa, i banku IKO.
Według firmy Cyble zajmującej się cyberbezpieczeństwem, uważa się, że dystrybucja tego mobilnego złośliwego oprogramowania odbywała się różnymi kanałami. Należą do nich zainfekowane strony internetowe, załączniki na popularnej platformie komunikacyjnej Discord oraz usługi hostingowe świadczone przez Bitbucket. Ponadto trojan Chameleon dla Androida oferuje szerokie spektrum szkodliwych możliwości, które obejmują kradzież danych uwierzytelniających użytkownika poprzez wstrzykiwanie nakładek i rejestrowanie klawiszy, a także gromadzenie plików cookie i wiadomości SMS z zaatakowanego urządzenia.
Spis treści
Kameleon wykonuje różne kontrole zapobiegające wykryciu
Po uruchomieniu na zaatakowanym urządzeniu z Androidem mobilne złośliwe oprogramowanie Chameleon wykorzystuje kilka technik, aby uniknąć wykrycia przez oprogramowanie zabezpieczające. Taktyki te obejmują testy antyemulacyjne w celu ustalenia, czy urządzenie jest zrootowane i czy debugowanie zostało aktywowane. Jeśli zagrożenie wykryje, że działa w środowisku analityka, może całkowicie przerwać proces infekcji, aby uniknąć wykrycia.
Jeśli stwierdzi, że środowisko jest bezpieczne, Chameleon kontynuuje swoje złośliwe oprogramowanie i prosi ofiarę o upoważnienie jej do korzystania z usługi ułatwień dostępu. Uprawnienie to jest następnie wykorzystywane przez zagrożenie do przyznania sobie dodatkowych uprawnień, wyłączenia Google Play Protect i uniemożliwienia ofierze odinstalowania trojana.
Atakujący mogą wykonywać różne groźne działania za pośrednictwem mobilnego złośliwego oprogramowania Chameleon
Po nawiązaniu połączenia z serwerem Command and Control (C2), złośliwe oprogramowanie Chameleon inicjuje komunikację, wysyłając wersję urządzenia, model, status roota, kraj i dokładną lokalizację. Uważa się, że jest to próba sprofilowania nowej infekcji i odpowiedniego dostosowania jej działań.
Następnie, w zależności od podmiotu, pod który złośliwe oprogramowanie się podszywa, otwiera prawidłowy adres URL w widoku WebView i rozpoczyna ładowanie złośliwych modułów w tle. Moduły te obejmują narzędzie do kradzieży plików cookie, keylogger, narzędzie do wstrzykiwania stron phishingowych, narzędzie do pobierania kodu PIN/patternu ekranu blokady oraz urządzenie do kradzieży SMS-ów. Ten ostatni jest szczególnie niepokojący, ponieważ może wydobywać hasła jednorazowe, umożliwiając w ten sposób atakującym ominięcie zabezpieczeń uwierzytelniania dwuskładnikowego.
W celu wykonywania działań związanych z gromadzeniem danych złośliwe oprogramowanie Chameleon polega na nadużywaniu usług ułatwień dostępu. Daje to złośliwemu oprogramowaniu możliwość monitorowania zawartości ekranu, wykrywania określonych zdarzeń, modyfikowania elementów interfejsu i wysyłania niezbędnych wywołań API zgodnie z wymaganiami.
Mobilne złośliwe oprogramowanie Chameleon ustanawia trwałość na zainfekowanych urządzeniach
Oprócz zbierania danych złośliwe oprogramowanie Chameleon wykorzystuje również usługi ułatwień dostępu, aby utrudnić usunięcie niebezpiecznej aplikacji. Osiąga to poprzez monitorowanie prób odinstalowania przez ofiarę i usuwanie współdzielonych zmiennych preferencji powiązanych ze złośliwym oprogramowaniem. To sprawia, że wygląda na to, że aplikacja została odinstalowana, podczas gdy w rzeczywistości pozostaje na urządzeniu.
Co więcej, firma Cyble zajmująca się bezpieczeństwem cybernetycznym odkryła w Chameleon kod, który pozwala jej pobrać ładunek w czasie wykonywania i zapisać go na urządzeniu hosta jako plik „.jar”. Ten plik ma zostać wykonany później przez DexClassLoader. Jednak ta funkcja nie wydaje się być obecnie używana przez złośliwe oprogramowanie.
