Cameleon Mobile Malware
O nouă formă de troian Android, denumită „Cameleon”, a fost detectată care vizează utilizatorii atât din Australia, cât și din Polonia de la începutul anului 2023. Acest program malware special este conceput pentru a imita entități legitime, cum ar fi schimbul de criptomonede CoinSpot, o agenție guvernamentală australiană, și banca IKO.
Potrivit companiei de securitate cibernetică Cyble, distribuirea acestui malware mobil se crede că a avut loc prin diverse canale. Acestea includ site-uri web compromise, atașamente pe populara platformă de comunicare Discord și servicii de găzduire oferite de Bitbucket. În plus, troianul Chameleon Android se mândrește cu un spectru larg de capabilități dăunătoare, care includ furtul acreditărilor utilizatorului prin injecții suprapuse și înregistrarea tastelor, precum și colectarea de cookie-uri și mesaje SMS de pe dispozitivul compromis.
Cuprins
Chameleon efectuează diverse verificări anti-detecție
La executarea pe dispozitivul Android încălcat, programul malware mobil Chameleon folosește mai multe tehnici pentru a evita detectarea de către software-ul de securitate. Aceste tactici includ verificări anti-emulare pentru a determina dacă dispozitivul este rootat și dacă depanarea a fost activată. Dacă amenințarea detectează că rulează în mediul unui analist, poate anula complet procesul de infecție pentru a evita detectarea.
Dacă stabilește că mediul este sigur, Chameleon continuă cu programarea sa rău intenționată și solicită victimei să o autorizeze să folosească Serviciul de accesibilitate. Această permisiune este apoi exploatată de amenințarea de a-și acorda privilegii suplimentare, de a dezactiva Google Play Protect și de a împiedica victima să dezinstaleze troianul.
Atacatorii pot efectua diverse activități amenințătoare prin programul malware Chameleon Mobile
La stabilirea unei conexiuni cu serverul de comandă și control (C2), programul malware Chameleon inițiază comunicarea trimițând versiunea dispozitivului, modelul, starea rădăcină, țara și locația precisă. Se crede că aceasta este o încercare de a profila noua infecție și de a-și adapta activitățile în consecință.
Ulterior, în funcție de entitatea pe care programul malware o uzurpă, deschide o adresă URL legitimă într-un WebView și începe încărcarea modulelor rău intenționate în fundal. Aceste module includ un furt de cookie-uri, un keylogger, un injector de pagină de phishing, un dispozitiv de captare PIN/model pentru ecran de blocare și un furt de SMS-uri. Acesta din urmă este deosebit de îngrijorător, deoarece poate extrage parole unice, permițând astfel atacatorilor să ocolească protecțiile de autentificare cu doi factori.
Pentru a-și desfășura activitățile de colectare a datelor, programul malware Chameleon se bazează pe abuzul de Servicii de accesibilitate. Acest lucru oferă malware-ului capacitatea de a monitoriza conținutul ecranului, de a detecta evenimente specifice, de a modifica elementele de interfață și de a trimite apelurile API necesare, după cum este necesar.
Programul malware Chameleon Mobile stabilește persistența pe dispozitivele infectate
Pe lângă activitățile sale de colectare a datelor, programul malware Chameleon folosește și serviciile de accesibilitate pentru a împiedica eliminarea aplicației nesigure. Acesta realizează acest lucru prin monitorizarea încercărilor de dezinstalare ale victimei și ștergerea variabilelor de preferințe partajate asociate cu malware-ul. Acest lucru face să pară ca și cum aplicația a fost dezinstalată când, de fapt, rămâne pe dispozitiv.
Mai mult, firma de securitate cibernetică Cyble a descoperit cod în Chameleon care îi permite să descarce o încărcare utilă în timpul rulării și să o salveze pe dispozitivul gazdă ca fișier „.jar”. Acest fișier este destinat să fie executat ulterior prin DexClassLoader. Cu toate acestea, această caracteristică nu pare să fie utilizată în prezent de malware.
