Chameleon Mobile Malware
Ang isang bagong anyo ng Android Trojan na tinutukoy bilang 'Chameleon,' ay natukoy na nagta-target ng mga user sa parehong Australia at Poland mula noong simula ng 2023. Ang partikular na malware na ito ay idinisenyo upang gayahin ang mga lehitimong entity gaya ng CoinSpot cryptocurrency exchange, isang ahensya ng gobyerno ng Australia, at ang IKO bank.
Ayon sa cybersecurity firm na Cyble, ang pamamahagi ng mobile malware na ito ay pinaniniwalaang nangyari sa pamamagitan ng iba't ibang channel. Kabilang dito ang mga nakompromisong website, mga attachment sa sikat na platform ng komunikasyon na Discord, at mga serbisyo sa pagho-host na ibinigay ng Bitbucket. Bilang karagdagan, ipinagmamalaki ng Chameleon Android trojan ang malawak na spectrum ng mga mapaminsalang kakayahan, na binubuo ng pagnanakaw ng mga kredensyal ng user sa pamamagitan ng mga overlay na injection at keylogging, pati na rin ang koleksyon ng cookies at mga mensaheng SMS mula sa nakompromisong device.
Talaan ng mga Nilalaman
Si Chameleon ay nagsasagawa ng iba't ibang mga Anti-Detection Check
Sa pag-execute sa nalabag na Android device, gumagamit ang Chameleon mobile malware ng ilang mga diskarte upang maiwasan ang pagtuklas ng software ng seguridad. Kasama sa mga taktikang ito ang mga pagsusuri sa anti-emulasyon upang matukoy kung naka-root ang device at kung na-activate na ang pag-debug. Kung matukoy ng banta na ito ay tumatakbo sa kapaligiran ng isang analyst, maaari nitong ganap na i-abort ang proseso ng impeksyon upang maiwasan ang pagtuklas.
Kung matukoy nito na ligtas ang kapaligiran, magpapatuloy ang Chameleon sa malisyosong programming nito at ipo-prompt ang biktima na pahintulutan itong gamitin ang Serbisyo ng Accessibility. Ang pahintulot na ito ay sinasamantala ng banta na bigyan ang sarili ng mga karagdagang pribilehiyo, i-off ang Google Play Protect, at pigilan ang biktima na i-uninstall ang Trojan.
Ang mga umaatake ay maaaring Magsagawa ng Iba't Ibang Mga Pagbabantang Aktibidad sa pamamagitan ng Chameleon Mobile Malware
Sa pagkakaroon ng koneksyon sa Command and Control (C2) server, ang Chameleon malware ay nagpasimula ng komunikasyon sa pamamagitan ng pagpapadala ng bersyon, modelo, root status, bansa, at eksaktong lokasyon ng device. Ito ay pinaniniwalaan na isang pagtatangka na i-profile ang bagong impeksyon at iangkop ang mga aktibidad nito nang naaayon.
Kasunod nito, depende sa entity na ginagaya ng malware, nagbubukas ito ng lehitimong URL sa isang WebView at sinisimulan ang pag-load ng mga nakakahamak na module sa background. Kasama sa mga module na ito ang isang cookie stealer, isang keylogger, isang phishing page injector, isang lock screen PIN/pattern grabber, at isang SMS stealer. Ang huli ay partikular na nauukol dahil maaari itong mag-extract ng isang beses na mga password, sa gayon ay nagpapahintulot sa mga umaatake na i-bypass ang dalawang-factor na proteksyon sa pagpapatunay.
Upang maisagawa ang mga aktibidad sa pangongolekta ng data nito, umaasa ang Chameleon malware sa pang-aabuso ng Mga Serbisyo sa Accessibility. Binibigyan nito ang malware ng kakayahang subaybayan ang nilalaman ng screen, tuklasin ang mga partikular na kaganapan, baguhin ang mga elemento ng interface, at magpadala ng mga kinakailangang tawag sa API kung kinakailangan.
Ang Chameleon Mobile Malware ay Nagtatatag ng Pagtitiyaga sa Mga Infected na Device
Bilang karagdagan sa mga aktibidad nito sa pagkolekta ng data, ginagamit din ng Chameleon malware ang Mga Serbisyo sa Accessibility upang hadlangan ang pag-alis ng hindi ligtas na application. Nagagawa nito ito sa pamamagitan ng pagsubaybay sa mga pagtatangka sa pag-uninstall ng biktima at pagtanggal sa mga nakabahaging variable ng kagustuhan na nauugnay sa malware. Ginagawa nitong tila na-uninstall ang app kapag, sa katunayan, nananatili ito sa device.
Higit pa rito, natuklasan ng cybersecurity firm na Cyble ang code sa loob ng Chameleon na nagbibigay-daan dito na mag-download ng payload habang nasa runtime at i-save ito sa host device bilang isang '.jar' na file. Ang file na ito ay inilaan na isakatuparan sa ibang pagkakataon sa pamamagitan ng DexClassLoader. Gayunpaman, ang tampok na ito ay hindi lumilitaw na kasalukuyang ginagamit ng malware.
