Chameleon มัลแวร์มือถือ
โทรจัน Android รูปแบบใหม่ที่เรียกว่า 'Chameleon' ถูกตรวจพบว่ากำหนดเป้าหมายผู้ใช้ทั้งในออสเตรเลียและโปแลนด์ตั้งแต่ต้นปี 2566 มัลแวร์นี้ออกแบบมาเพื่อเลียนแบบหน่วยงานที่ถูกต้อง เช่น การแลกเปลี่ยนสกุลเงินดิจิตอล CoinSpot หน่วยงานรัฐบาลออสเตรเลีย และธนาคาร IKO
ตามที่บริษัทรักษาความปลอดภัยทางไซเบอร์ Cyble เชื่อว่าการแพร่กระจายของมัลแวร์มือถือนี้เกิดขึ้นผ่านช่องทางต่างๆ สิ่งเหล่านี้รวมถึงเว็บไซต์ที่ถูกบุกรุก ไฟล์แนบบนแพลตฟอร์มการสื่อสารยอดนิยม Discord และบริการโฮสติ้งที่ Bitbucket จัดหาให้ นอกจากนี้ โทรจัน Chameleon Android ยังมีความสามารถที่เป็นอันตรายมากมาย ซึ่งประกอบด้วยการขโมยข้อมูลส่วนตัวของผู้ใช้ผ่านการซ้อนทับและการล็อกกุญแจ ตลอดจนการรวบรวมคุกกี้และข้อความ SMS จากอุปกรณ์ที่ถูกบุกรุก
สารบัญ
Chameleon ทำการตรวจสอบการต่อต้านการตรวจจับต่างๆ
เมื่อดำเนินการบนอุปกรณ์ Android ที่ถูกละเมิด มัลแวร์มือถือ Chameleon ใช้เทคนิคหลายอย่างเพื่อหลบเลี่ยงการตรวจจับโดยซอฟต์แวร์รักษาความปลอดภัย กลวิธีเหล่านี้รวมถึงการตรวจสอบการต่อต้านการจำลองเพื่อระบุว่าอุปกรณ์ได้รับการรูทหรือไม่และมีการเปิดใช้งานการดีบักหรือไม่ หากภัยคุกคามตรวจพบว่ากำลังทำงานอยู่ในสภาพแวดล้อมของนักวิเคราะห์ ก็อาจยกเลิกกระบวนการติดไวรัสทั้งหมดเพื่อหลีกเลี่ยงการตรวจจับ
หากพิจารณาแล้วว่าสภาพแวดล้อมปลอดภัย Chameleon จะดำเนินการตั้งโปรแกรมที่เป็นอันตรายและแจ้งให้เหยื่ออนุญาตให้ใช้บริการการเข้าถึง จากนั้นการอนุญาตนี้จะถูกใช้โดยภัยคุกคามเพื่อให้สิทธิ์เพิ่มเติมแก่ตัวเอง ปิด Google Play Protect และป้องกันไม่ให้เหยื่อถอนการติดตั้งโทรจัน
ผู้โจมตีสามารถทำกิจกรรมคุกคามต่างๆ ผ่าน Chameleon Mobile Malware
เมื่อสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ Command and Control (C2) แล้ว มัลแวร์ Chameleon จะเริ่มการสื่อสารโดยส่งเวอร์ชัน รุ่น สถานะรูท ประเทศ และตำแหน่งที่แม่นยำของอุปกรณ์ เชื่อกันว่านี่เป็นความพยายามที่จะกำหนดรายละเอียดของผู้ติดเชื้อรายใหม่และปรับแต่งกิจกรรมให้เหมาะสม
ต่อจากนั้น ขึ้นอยู่กับเอนทิตีที่มัลแวร์แอบอ้าง มัลแวร์จะเปิด URL ที่ถูกต้องใน WebView และเริ่มการโหลดโมดูลที่เป็นอันตรายในเบื้องหลัง โมดูลเหล่านี้ประกอบด้วยตัวขโมยคุกกี้ ตัวบันทึกคีย์ ตัวฉีดหน้าฟิชชิ่ง ตัวจับ PIN/รูปแบบหน้าจอล็อก และตัวขโมย SMS อย่างหลังนี้มีความเกี่ยวข้องเป็นพิเศษเนื่องจากสามารถดึงรหัสผ่านแบบใช้ครั้งเดียวได้ จึงทำให้ผู้โจมตีสามารถข้ามการป้องกันการตรวจสอบสิทธิ์แบบสองปัจจัยได้
ในการทำกิจกรรมการเก็บรวบรวมข้อมูล มัลแวร์ Chameleon อาศัยการใช้ Accessibility Services ในทางที่ผิด สิ่งนี้ทำให้มัลแวร์สามารถตรวจสอบเนื้อหาหน้าจอ ตรวจจับเหตุการณ์เฉพาะ แก้ไของค์ประกอบอินเทอร์เฟซ และส่งการเรียก API ที่จำเป็นตามที่จำเป็น
Chameleon Mobile Malware สร้างการคงอยู่บนอุปกรณ์ที่ติดไวรัส
นอกเหนือจากกิจกรรมการรวบรวมข้อมูลแล้ว มัลแวร์ Chameleon ยังใช้ประโยชน์จาก Accessibility Services เพื่อขัดขวางการลบแอปพลิเคชันที่ไม่ปลอดภัย ทำได้โดยการเฝ้าติดตามความพยายามในการถอนการติดตั้งของเหยื่อ และลบตัวแปรการตั้งค่าที่ใช้ร่วมกันที่เกี่ยวข้องกับมัลแวร์ สิ่งนี้ทำให้ดูเหมือนว่าแอพนั้นถูกถอนการติดตั้ง ทั้งที่จริง ๆ แล้วแอพยังคงอยู่ในอุปกรณ์
นอกจากนี้ บริษัทด้านความปลอดภัยทางไซเบอร์ Cyble ได้ค้นพบโค้ดภายใน Chameleon ที่อนุญาตให้ดาวน์โหลดเพย์โหลดขณะอยู่ในรันไทม์ และบันทึกลงในอุปกรณ์โฮสต์เป็นไฟล์ '.jar' ไฟล์นี้มีวัตถุประสงค์เพื่อดำเนินการในภายหลังผ่าน DexClassLoader อย่างไรก็ตาม ดูเหมือนว่าคุณลักษณะนี้ไม่ได้ถูกใช้งานโดยมัลแวร์ในขณะนี้
