Chameleon Mobile Malware
Uma nova forma de Trojan do Android chamada 'Chameleon' foi detectada visando usuários na Austrália e na Polônia desde o início de 2023. Esse malware específico foi projetado para imitar entidades legítimas, como a troca de criptomoedas CoinSpot, uma agência do governo australiano, e o banco IKO.
De acordo com a empresa de segurança cibernética Cyble, acredita-se que a distribuição desse malware para celular tenha ocorrido por meio de vários canais. Isso inclui sites comprometidos, anexos na popular plataforma de comunicação Discord e serviços de hospedagem fornecidos pelo Bitbucket. Além disso, o Trojan Android Chameleon possui um amplo espectro de recursos nocivos, que incluem o roubo de credenciais do usuário por meio de injeções de sobreposição e keylogging, bem como a coleta de cookies e mensagens SMS do dispositivo comprometido.
Índice
O Chameleon Executa Várias Verificações Anti-Detecção
Após a execução no dispositivo Android violado, o Chameleon Mobile Malware emprega várias técnicas para evitar a detecção pelo software de segurança. Essas táticas incluem verificações anti-emulação para determinar se o dispositivo está enraizado e se a depuração foi ativada. Se a ameaça detectar que está sendo executada no ambiente de um analista, ela poderá abortar o processo de infecção para evitar a detecção.
Se determinar que o ambiente é seguro, o Chameleon prossegue com sua programação maliciosa e solicita à vítima que a autorize a usar o Serviço de Acessibilidade. Essa permissão é então explorada pela ameaça para conceder a si mesma privilégios adicionais, desativar o Google Play Protect e impedir que a vítima desinstale o Trojan.
Os Invasores podem Executar Várias Atividades Ameaçadoras por Meio do Chameleon Mobile Malware
Ao estabelecer uma conexão com o servidor de Comando e Controle (C2), o malware Chameleon inicia a comunicação enviando a versão, modelo, status da raiz, país e localização precisa do dispositivo. Acredita-se que seja uma tentativa de traçar o perfil da nova infecção e adaptar suas atividades de acordo.
Posteriormente, dependendo da entidade que o malware está personificando, ele abre uma URL legítima em um WebView e inicia o carregamento de módulos maliciosos em segundo plano. Esses módulos incluem um ladrão de cookies, um keylogger, um injetor de página de phishing, um capturador de PIN/padrão de tela de bloqueio e um ladrão de SMS. O último é particularmente preocupante, pois pode extrair senhas únicas, permitindo assim que os invasores ignorem as proteções de autenticação de dois fatores.
Para realizar suas atividades de coleta de dados, o malware Chameleon depende do abuso dos Serviços de Acessibilidade. Isso concede ao malware a capacidade de monitorar o conteúdo da tela, detectar eventos específicos, modificar elementos da interface e enviar chamadas de API necessárias conforme necessário.
O Chameleon Mobile Malware Estabelece Persistência nos Dispositivos Infectados
Além de suas atividades de coleta de dados, o malware Chameleon também utiliza os Serviços de Acessibilidade para impedir a remoção do aplicativo inseguro. Ele consegue isso monitorando as tentativas de desinstalação da vítima e excluindo as variáveis de preferência compartilhada associadas ao malware. Isso faz com que pareça que o aplicativo foi desinstalado quando, na verdade, ele permanece no dispositivo.
Além disso, a empresa de segurança cibernética Cyble descobriu um código no Chameleon que permite baixar uma carga durante o tempo de execução e salvá-la no dispositivo host como um arquivo '.jar'. Este arquivo deve ser executado posteriormente via DexClassLoader. No entanto, esse recurso não parece estar sendo usado pelo malware.
