Chameleon Mobil Kötü Amaçlı Yazılım
2023'ün başından beri hem Avustralya hem de Polonya'daki kullanıcıları hedefleyen "Chameleon" adlı yeni bir Android Truva Atı biçimi tespit edildi. ve IKO bankası.
Siber güvenlik firması Cyble'a göre, bu mobil kötü amaçlı yazılımın dağıtımının çeşitli kanallar aracılığıyla gerçekleştiğine inanılıyor. Bunlar arasında güvenliği ihlal edilmiş web siteleri, popüler iletişim platformu Discord'daki ekler ve Bitbucket tarafından sağlanan barındırma hizmetleri yer alır. Buna ek olarak, Chameleon Android truva atı, yer paylaşımlı enjeksiyonlar ve keylogging yoluyla kullanıcı kimlik bilgilerinin çalınmasının yanı sıra güvenliği ihlal edilmiş cihazdan çerezlerin ve SMS mesajlarının toplanmasını içeren geniş bir zararlı yetenekler yelpazesine sahiptir.
İçindekiler
Bukalemun Çeşitli Tespit Önleme Kontrolleri Gerçekleştirir
İhlal edilen Android cihazında yürütüldükten sonra, Chameleon mobil kötü amaçlı yazılımı, güvenlik yazılımı tarafından tespit edilmekten kaçınmak için çeşitli teknikler kullanır. Bu taktikler, cihazın köklü olup olmadığını ve hata ayıklamanın etkinleştirilip etkinleştirilmediğini belirlemek için öykünme önleme kontrollerini içerir. Tehdit, bir analistin ortamında çalıştığını algılarsa, algılanmayı önlemek için bulaşma sürecini tamamen durdurabilir.
Chameleon, ortamın güvenli olduğunu belirlerse kötü niyetli programlamasına devam eder ve kurbandan Erişilebilirlik Hizmetini kullanması için yetki vermesini ister. Bu izin daha sonra tehdit tarafından kendisine ek ayrıcalıklar vermek, Google Play Protect'i kapatmak ve kurbanın Truva Atı'nı kaldırmasını engellemek için istismar edilir.
Saldırganlar, Chameleon Mobil Kötü Amaçlı Yazılım Aracılığıyla Çeşitli Tehdit Faaliyetleri Gerçekleştirebilir
Komuta ve Kontrol (C2) sunucusuyla bağlantı kurulduktan sonra, kötü amaçlı yazılım Chameleon, cihazın sürümünü, modelini, kök durumunu, ülkesini ve tam konumunu göndererek iletişimi başlatır. Bunun, yeni enfeksiyonun profilini çıkarma ve faaliyetlerini buna göre uyarlama girişimi olduğuna inanılıyor.
Ardından, kötü amaçlı yazılımın kimliğine büründüğü varlığa bağlı olarak, bir Web Görünümünde meşru bir URL açar ve arka planda kötü amaçlı modülleri yüklemeye başlar. Bu modüller, bir çerez hırsızı, bir keylogger, bir kimlik avı sayfası enjektörü, bir kilit ekranı PIN'i/desen yakalayıcı ve bir SMS hırsızı içerir. İkincisi, tek seferlik şifreleri çıkarabildiği ve böylece saldırganların iki faktörlü kimlik doğrulama korumalarını atlamasına izin verdiği için özellikle endişe vericidir.
Chameleon kötü amaçlı yazılımı, veri toplama faaliyetlerini gerçekleştirmek için Erişilebilirlik Hizmetlerinin kötüye kullanılmasına dayanır. Bu, kötü amaçlı yazılıma ekran içeriğini izleme, belirli olayları algılama, arabirim öğelerini değiştirme ve gerektiğinde gerekli API çağrılarını gönderme yeteneği verir.
Chameleon Mobil Kötü Amaçlı Yazılımı, Etkilenen Cihazlarda Kalıcılık Oluşturuyor
Chameleon kötü amaçlı yazılımı, veri toplama etkinliklerine ek olarak, güvenli olmayan uygulamanın kaldırılmasını engellemek için Erişilebilirlik Hizmetlerinden de yararlanır. Bunu, kurbanın kaldırma girişimlerini izleyerek ve kötü amaçlı yazılımla ilişkili paylaşılan tercih değişkenlerini silerek gerçekleştirir. Bu, aslında cihazda kaldığında uygulama kaldırılmış gibi görünmesini sağlar.
Ayrıca, siber güvenlik firması Cyble, Chameleon içinde, çalışma zamanında bir yükü indirmesine ve ana cihaza bir '.jar' dosyası olarak kaydetmesine izin veren bir kod keşfetti. Bu dosyanın daha sonra DexClassLoader aracılığıyla çalıştırılması amaçlanmıştır. Ancak, bu özellik şu anda kötü amaçlı yazılım tarafından kullanılıyor gibi görünmüyor.
