Цхамелеон Мобиле Малваре
Нови облик Андроид тројанца који се назива 'Цхамелеон' откривен је како циља кориснике у Аустралији и Пољској од почетка 2023. Овај конкретан малвер је дизајниран да опонаша легитимне ентитете као што је берза криптовалута ЦоинСпот, аустралијска владина агенција, и ИКО банка.
Према компанији за сајбер безбедност Цибле, верује се да се дистрибуција овог мобилног малвера догодила различитим каналима. То укључује угрожене веб странице, прилоге на популарној комуникационој платформи Дисцорд и услуге хостинга које пружа Битбуцкет. Поред тога, Цхамелеон Андроид тројанац се може похвалити широким спектром штетних могућности, које обухватају крађу корисничких акредитива путем убризгавања преклапања и кеилоггинг-а, као и прикупљање колачића и СМС порука са компромитованог уређаја.
Преглед садржаја
Камелеон обавља различите провере против детекције
Након извршења на пробијеном Андроид уређају, мобилни малвер Цхамелеон користи неколико техника како би избегао откривање од стране безбедносног софтвера. Ове тактике укључују провере против емулације да би се утврдило да ли је уређај укорењен и да ли је отклањање грешака активирано. Ако претња открије да ради у окружењу аналитичара, може у потпуности да прекине процес инфекције да би избегла откривање.
Ако утврди да је окружење безбедно, Цхамелеон наставља са својим злонамерним програмирањем и тражи од жртве да је овласти да користи услугу приступачности. Ову дозволу затим искоришћава претња да себи додели додатне привилегије, искључи Гоогле Плаи заштиту и спречи жртву да деинсталира тројанца.
Нападачи могу да обављају различите претеће активности преко Цхамелеон Мобиле Малвера
Након успостављања везе са сервером за команду и контролу (Ц2), злонамерни софтвер Цхамелеон покреће комуникацију тако што шаље верзију уређаја, модел, роот статус, земљу и прецизну локацију. Верује се да је ово покушај профилисања нове инфекције и прилагођавања њених активности у складу са тим.
Након тога, у зависности од ентитета који се малвер представља, он отвара легитимни УРЛ у ВебВиев-у и почиње учитавање злонамерних модула у позадини. Ови модули укључују крађу колачића, кеилоггер, ињектор пхисхинг страница, хватач ПИН-а/узорка за закључавање екрана и СМС крађивач. Ово последње је посебно забрињавајуће јер може извући једнократне лозинке, омогућавајући тако нападачима да заобиђу заштиту од двофакторске аутентификације.
Да би обављао своје активности прикупљања података, злонамерни софтвер Цхамелеон се ослања на злоупотребу услуга приступачности. Ово малверу даје могућност да надгледа садржај екрана, открива специфичне догађаје, мења елементе интерфејса и шаље неопходне АПИ позиве по потреби.
Цхамелеон Мобиле Малвер успоставља постојаност на зараженим уређајима
Поред својих активности прикупљања података, малвер Цхамелеон такође користи услуге приступачности како би спречио уклањање небезбедне апликације. То постиже праћењем покушаја деинсталације од стране жртве и брисањем заједничких променљивих преференција повезаних са малвером. Ово чини да изгледа као да је апликација деинсталирана, а заправо остаје на уређају.
Штавише, компанија за сајбер безбедност Цибле је открила код у оквиру Цхамелеона који му омогућава да преузме корисни терет док је у току рада и да га сачува на главном уређају као '.јар' датотеку. Ова датотека треба да се изврши касније преко ДекЦлассЛоадер-а. Међутим, изгледа да ову функцију тренутно не користи малвер.
