Kameleon Mobile Malware
Një formë e re e Android Trojan, e referuar si 'Kameleon', është zbuluar që synon përdoruesit si në Australi ashtu edhe në Poloni që nga fillimi i vitit 2023. Ky malware i veçantë është krijuar për të imituar entitete legjitime si shkëmbimi i kriptomonedhave CoinSpot, një agjenci qeveritare australiane, dhe IKO bank.
Sipas firmës së sigurisë kibernetike Cyble, shpërndarja e këtij malware celular besohet të ketë ndodhur përmes kanaleve të ndryshme. Këto përfshijnë faqet e internetit të komprometuara, bashkëngjitjet në platformën e njohur të komunikimit Discord dhe shërbimet e pritjes të ofruara nga Bitbucket. Për më tepër, trojani Chameleon Android krenohet me një spektër të gjerë aftësish të dëmshme, të cilat përfshijnë vjedhjen e kredencialeve të përdoruesit përmes injeksioneve të mbivendosjes dhe regjistrimit të tastierës, si dhe mbledhjen e cookies dhe mesazheve SMS nga pajisja e komprometuar.
Tabela e Përmbajtjes
Kameleoni kryen kontrolle të ndryshme kundër zbulimit
Pas ekzekutimit në pajisjen Android të dëmtuar, malware celular Chameleon përdor disa teknika për të shmangur zbulimin nga softueri i sigurisë. Këto taktika përfshijnë kontrolle kundër emulimit për të përcaktuar nëse pajisja është e rrënjosur dhe nëse korrigjimi është aktivizuar. Nëse kërcënimi zbulon se po funksionon në mjedisin e një analisti, ai mund të ndërpresë plotësisht procesin e infeksionit për të shmangur zbulimin.
Nëse konstaton se mjedisi është i sigurt, Chameleon vazhdon me programimin e tij keqdashës dhe e nxit viktimën ta autorizojë atë për të përdorur Shërbimin e Aksesueshmërisë. Kjo leje shfrytëzohet më pas nga kërcënimi për t'i dhënë vetes privilegje shtesë, për të fikur Google Play Protect dhe për të parandaluar që viktima të çinstalojë Trojanin.
Sulmuesit mund të kryejnë aktivitete të ndryshme kërcënuese përmes malware Chameleon Mobile
Pas vendosjes së një lidhjeje me serverin Command and Control (C2), malware i Chameleon fillon komunikimin duke dërguar versionin, modelin, statusin rrënjë, shtetin dhe vendndodhjen e saktë të pajisjes. Kjo besohet të jetë një përpjekje për të profilizuar infeksionin e ri dhe për të përshtatur aktivitetet e tij në përputhje me rrethanat.
Më pas, në varësi të entitetit që imiton malware, ai hap një URL legjitime në një WebView dhe fillon ngarkimin e moduleve me qëllim të keq në sfond. Këto module përfshijnë një vjedhës cookie, një keylogger, një injektues faqesh phishing, një bllokues të kodit PIN/model të ekranit dhe një vjedhës SMS. Kjo e fundit është veçanërisht shqetësuese pasi mund të nxjerrë fjalëkalime një herë, duke lejuar kështu sulmuesit të anashkalojnë mbrojtjen e vërtetimit me dy faktorë.
Për të kryer aktivitetet e tij të mbledhjes së të dhënave, malware i Chameleon mbështetet në abuzimin e Shërbimeve të Aksesueshmërisë. Kjo i jep malware mundësinë për të monitoruar përmbajtjen e ekranit, për të zbuluar ngjarje specifike, për të modifikuar elementët e ndërfaqes dhe për të dërguar thirrjet e nevojshme API sipas nevojës.
Malware Mobile Chameleon vendos qëndrueshmëri në pajisjet e infektuara
Përveç aktiviteteve të tij për mbledhjen e të dhënave, malware-i Chameleon përdor gjithashtu Shërbimet e Aksesueshmërisë për të penguar heqjen e aplikacionit të pasigurt. Ai e realizon këtë duke monitoruar përpjekjet për çinstalim nga viktima dhe duke fshirë variablat e preferencave të përbashkëta të lidhura me malware. Kjo e bën të duket sikur aplikacioni është çinstaluar kur, në fakt, ai mbetet në pajisje.
Për më tepër, firma e sigurisë kibernetike Cyble ka zbuluar kodin brenda Chameleon që e lejon atë të shkarkojë një ngarkesë gjatë kohës së ekzekutimit dhe ta ruajë atë në pajisjen pritës si një skedar '.jar'. Ky skedar synohet të ekzekutohet më vonë nëpërmjet DexClassLoader. Megjithatë, kjo veçori nuk duket të jetë aktualisht në përdorim nga malware.
