Хамелеон Мобильное вредоносное ПО
С начала 2023 года была обнаружена новая форма троянца для Android под названием «Chameleon», нацеленная на пользователей как в Австралии, так и в Польше. Это конкретное вредоносное ПО предназначено для имитации законных организаций, таких как криптовалютная биржа CoinSpot, австралийское государственное агентство, и банк ИКО.
По данным фирмы кибербезопасности Cyble, считается, что распространение этого мобильного вредоносного ПО происходило по различным каналам. К ним относятся взломанные веб-сайты, вложения на популярной коммуникационной платформе Discord и услуги хостинга, предоставляемые Bitbucket. Кроме того, троянец Chameleon для Android может похвастаться широким спектром вредоносных возможностей, которые включают в себя кражу учетных данных пользователя с помощью оверлейных инъекций и кейлогинга, а также сбор файлов cookie и SMS-сообщений со взломанного устройства.
Оглавление
Chameleon выполняет различные антидетектирующие проверки
После запуска на взломанном устройстве Android мобильное вредоносное ПО Chameleon использует несколько методов, чтобы избежать обнаружения программным обеспечением безопасности. Эти тактики включают проверки против эмуляции, чтобы определить, рутировано ли устройство и активирована ли отладка. Если угроза обнаружит, что она запущена в среде аналитика, она может полностью прервать процесс заражения, чтобы избежать обнаружения.
Если он определяет, что среда безопасна, Chameleon продолжает свое вредоносное программирование и предлагает жертве авторизовать ее для использования службы специальных возможностей. Затем это разрешение используется угрозой для предоставления себе дополнительных привилегий, отключения Google Play Protect и предотвращения удаления троянца жертвой.
Злоумышленники могут выполнять различные угрожающие действия с помощью вредоносного ПО Chameleon Mobile
После установления соединения с сервером управления и контроля (C2) вредоносная программа Chameleon инициирует связь, отправляя версию устройства, модель, корневой статус, страну и точное местоположение. Считается, что это попытка составить профиль новой инфекции и соответствующим образом адаптировать ее действия.
Впоследствии, в зависимости от сущности, которую олицетворяет вредоносная программа, она открывает законный URL-адрес в WebView и начинает загрузку вредоносных модулей в фоновом режиме. Эти модули включают в себя похититель файлов cookie, кейлоггер, инжектор фишинговых страниц, захват PIN-кода/шаблона блокировки экрана и похититель SMS. Последнее вызывает особую озабоченность, поскольку может извлекать одноразовые пароли, тем самым позволяя злоумышленникам обходить защиту двухфакторной аутентификации.
Для сбора данных вредоносное ПО Chameleon использует злоупотребление службами специальных возможностей. Это дает вредоносному ПО возможность отслеживать содержимое экрана, обнаруживать определенные события, изменять элементы интерфейса и отправлять необходимые вызовы API по мере необходимости.
Вредоносное ПО Chameleon Mobile закрепляется на зараженных устройствах
В дополнение к действиям по сбору данных вредоносное ПО Chameleon также использует службы специальных возможностей, чтобы помешать удалению небезопасного приложения. Это достигается путем отслеживания попыток удаления со стороны жертвы и удаления общих переменных настроек, связанных с вредоносным ПО. Это создает впечатление, что приложение было удалено, хотя на самом деле оно остается на устройстве.
Кроме того, компания Cyble, занимающаяся кибербезопасностью, обнаружила в Chameleon код, который позволяет загружать полезную нагрузку во время выполнения и сохранять ее на хост-устройстве в виде файла «.jar». Этот файл предназначен для последующего выполнения через DexClassLoader. Однако в настоящее время эта функция не используется вредоносной программой.
