Chameleon Mobile Malware
Od začetka leta 2023 je bila zaznana nova oblika trojanca za Android, imenovana "Chameleon", ki cilja na uporabnike v Avstraliji in na Poljskem. Ta posebna zlonamerna programska oprema je zasnovana tako, da posnema zakonite subjekte, kot je borza kriptovalut CoinSpot, avstralska vladna agencija, in IKO banko.
Po navedbah podjetja za kibernetsko varnost Cyble naj bi do distribucije te mobilne zlonamerne programske opreme prišlo prek različnih kanalov. Sem spadajo ogrožena spletna mesta, priloge na priljubljeni komunikacijski platformi Discord in storitve gostovanja, ki jih ponuja Bitbucket. Poleg tega se trojanec Chameleon Android ponaša s širokim spektrom škodljivih zmožnosti, ki obsegajo krajo uporabniških poverilnic z vstavljanjem prekrivanja in beleženjem tipkovnice ter zbiranje piškotkov in sporočil SMS iz ogrožene naprave.
Kazalo
Chameleon izvaja različne preglede proti zaznavanju
Zlonamerna programska oprema za mobilne naprave Chameleon po izvajanju v napravi Android, v kateri je prišlo do vdora, uporablja več tehnik, da se izogne odkrivanju varnostne programske opreme. Te taktike vključujejo preverjanja proti emulaciji, da se ugotovi, ali je naprava zakoreninjena in ali je bilo aktivirano odpravljanje napak. Če grožnja zazna, da se izvaja v okolju analitika, lahko v celoti prekine postopek okužbe, da se izogne odkrivanju.
Če ugotovi, da je okolje varno, Chameleon nadaljuje s svojim zlonamernim programiranjem in žrtev pozove, naj jo pooblasti za uporabo storitve dostopnosti. To dovoljenje nato izkoristi grožnja, da si podeli dodatne privilegije, izklopi Google Play Protect in prepreči žrtvi, da bi odstranila trojanca.
Napadalci lahko prek zlonamerne programske opreme Chameleon Mobile izvajajo različne nevarne dejavnosti
Ko vzpostavi povezavo s strežnikom Command and Control (C2), zlonamerna programska oprema Chameleon sproži komunikacijo s pošiljanjem različice naprave, modela, korenskega statusa, države in natančne lokacije. To naj bi bil poskus profiliranja nove okužbe in temu primerno prilagajanje dejavnosti.
Pozneje, odvisno od subjekta, ki ga zlonamerna programska oprema pooseblja, odpre zakonit URL v spletnem pogledu in začne nalagati zlonamerne module v ozadju. Ti moduli vključujejo orodje za krajo piškotkov, zapisovalnik tipk, injektor strani z lažnim predstavljanjem, zajem PIN/vzorca zaklenjenega zaslona in krajo sporočil SMS. Slednje je še posebej zaskrbljujoče, saj lahko izlušči enkratna gesla in s tem omogoči napadalcem, da zaobidejo zaščito dvofaktorske avtentikacije.
Za izvajanje dejavnosti zbiranja podatkov se zlonamerna programska oprema Chameleon zanaša na zlorabo storitev dostopnosti. To zlonamerni programski opremi omogoča spremljanje vsebine zaslona, zaznavanje določenih dogodkov, spreminjanje elementov vmesnika in po potrebi pošiljanje potrebnih klicev API-ja.
Zlonamerna programska oprema Chameleon za mobilne naprave vzpostavlja obstojnost na okuženih napravah
Poleg dejavnosti zbiranja podatkov zlonamerna programska oprema Chameleon izkorišča tudi storitve dostopnosti, da prepreči odstranitev nevarne aplikacije. To doseže s spremljanjem poskusov odstranitve s strani žrtve in brisanjem spremenljivk skupnih nastavitev, povezanih z zlonamerno programsko opremo. Zaradi tega je videti, kot da je bila aplikacija odstranjena, čeprav v resnici ostaja v napravi.
Poleg tega je podjetje za kibernetsko varnost Cyble odkrilo kodo v Chameleonu, ki mu omogoča prenos koristnega tovora med izvajanjem in shranjevanje na gostiteljsko napravo kot datoteko '.jar'. Ta datoteka je predvidena za kasnejšo izvedbo prek DexClassLoader. Vendar se zdi, da te funkcije zlonamerna programska oprema trenutno ne uporablja.
