Chameleon Mobile Malware
Od začiatku roku 2023 bola zistená nová forma Android Trojan označovaná ako „Chameleon“, ktorá sa zameriava na používateľov v Austrálii a Poľsku. Tento konkrétny malvér je navrhnutý tak, aby napodobňoval legitímne entity, ako je burza kryptomien CoinSpot, austrálska vládna agentúra, a IKO bankou.
Podľa spoločnosti Cyble pre kybernetickú bezpečnosť sa predpokladá, že k distribúcii tohto mobilného malvéru došlo prostredníctvom rôznych kanálov. Patria sem napadnuté webové stránky, prílohy na populárnej komunikačnej platforme Discord a hostingové služby poskytované spoločnosťou Bitbucket. Trojan Chameleon Android sa navyše môže pochváliť širokým spektrom škodlivých schopností, ktoré zahŕňajú krádež používateľských poverení prostredníctvom prekrývacích injekcií a keyloggingu, ako aj zhromažďovanie súborov cookie a SMS správ z napadnutého zariadenia.
Obsah
Chameleon vykonáva rôzne antidetekčné kontroly
Po spustení na narušenom zariadení so systémom Android využíva mobilný malvér Chameleon niekoľko techník, aby sa vyhli detekcii bezpečnostným softvérom. Tieto taktiky zahŕňajú antiemulačné kontroly, aby sa zistilo, či je zariadenie rootované a či bolo aktivované ladenie. Ak hrozba zistí, že je spustená v prostredí analytika, môže úplne prerušiť proces infekcie, aby sa vyhla detekcii.
Ak zistí, že prostredie je bezpečné, Chameleon pokračuje vo svojom škodlivom programovaní a vyzve obeť, aby jej povolila používať Službu dostupnosti. Toto povolenie potom hrozba zneužije na udelenie ďalších privilégií, vypnutie ochrany Google Play a zabránenie obeti v odinštalovaní trójskeho koňa.
Útočníci môžu vykonávať rôzne ohrozujúce aktivity prostredníctvom Chameleon Mobile Malware
Po nadviazaní spojenia so serverom Command and Control (C2) iniciuje malvér Chameleon komunikáciu odoslaním verzie zariadenia, modelu, stavu koreňa, krajiny a presnej polohy. Predpokladá sa, že ide o pokus profilovať novú infekciu a podľa toho prispôsobiť jej aktivity.
Následne, v závislosti od entity, za ktorú sa malvér vydáva, otvorí legitímnu URL vo WebView a spustí načítavanie škodlivých modulov na pozadí. Tieto moduly zahŕňajú krádeže súborov cookie, keylogger, injektor phishingových stránok, zachytávanie PIN/vzorov na uzamknutej obrazovke a krádež SMS. Ten je obzvlášť znepokojujúci, pretože dokáže extrahovať jednorazové heslá, čím umožňuje útočníkom obísť dvojfaktorovú autentifikačnú ochranu.
Malvér Chameleon sa pri vykonávaní svojich činností zbierania údajov spolieha na zneužívanie služieb dostupnosti. To poskytuje malvéru schopnosť monitorovať obsah obrazovky, zisťovať špecifické udalosti, upravovať prvky rozhrania a podľa potreby odosielať potrebné volania API.
Chameleon Mobile Malware zaisťuje vytrvalosť na infikovaných zariadeniach
Malvér Chameleon okrem svojich činností zbierania údajov využíva aj služby dostupnosti, aby zabránil odstráneniu nebezpečnej aplikácie. Dosahuje to monitorovaním pokusov obete o odinštalovanie a odstránením premenných zdieľaných preferencií spojených s malvérom. Vďaka tomu to vyzerá, akoby bola aplikácia odinštalovaná, hoci v skutočnosti zostáva v zariadení.
Okrem toho, kybernetická bezpečnostná firma Cyble objavila v Chameleone kód, ktorý jej umožňuje stiahnuť si užitočné zaťaženie počas behu a uložiť ho na hostiteľskom zariadení ako súbor „.jar“. Tento súbor je určený na neskoršie spustenie cez DexClassLoader. Zdá sa však, že túto funkciu tento malvér momentálne nepoužíva.
