Шкідливе програмне забезпечення Chameleon Mobile
З початку 2023 року було виявлено нову форму трояна Android під назвою «Chameleon», націлену на користувачів як в Австралії, так і в Польщі. Це зловмисне програмне забезпечення створене для імітації законних організацій, таких як криптовалютна біржа CoinSpot, австралійська урядова установа, та ІКО банк.
За даними фірми з кібербезпеки Cyble, розповсюдження цього мобільного зловмисного ПЗ, ймовірно, відбувалося через різні канали. До них належать скомпрометовані веб-сайти, вкладення на популярній комунікаційній платформі Discord і послуги хостингу, які надає Bitbucket. Крім того, троян Chameleon Android може похвалитися широким спектром шкідливих можливостей, які включають крадіжку облікових даних користувача за допомогою ін’єкцій оверлеїв і клавіатурних журналів, а також збір файлів cookie та SMS-повідомлень зі зламаного пристрою.
Зміст
Chameleon виконує різноманітні перевірки захисту від виявлення
Після запуску на зламаному пристрої Android зловмисне програмне забезпечення Chameleon для мобільних пристроїв використовує кілька методів, щоб уникнути виявлення програмним забезпеченням безпеки. Ці тактики включають перевірки антиемуляції, щоб визначити, чи є пристрій рутованим і чи активовано налагодження. Якщо загроза виявляє, що вона працює в середовищі аналітика, вона може повністю припинити процес зараження, щоб уникнути виявлення.
Якщо він визначає, що середовище безпечне, Chameleon продовжує своє шкідливе програмування та пропонує жертві авторизувати її для використання служби доступності. Цей дозвіл потім використовується загрозою, щоб надати собі додаткові привілеї, вимкнути Google Play Protect і запобігти жертві видалити троян.
Зловмисники можуть виконувати різноманітні загрозливі дії за допомогою шкідливого програмного забезпечення Chameleon Mobile
Після встановлення з’єднання з сервером командування та контролю (C2) зловмисне програмне забезпечення Chameleon ініціює зв’язок, надсилаючи версію пристрою, модель, кореневий статус, країну та точне місцезнаходження. Вважається, що це спроба профілювати нову інфекцію та відповідним чином адаптувати її діяльність.
Згодом, залежно від об’єкта, який імітує зловмисне програмне забезпечення, воно відкриває законну URL-адресу в WebView та починає завантажувати шкідливі модулі у фоновому режимі. Ці модулі включають викрадач файлів cookie, кейлоггер, інжектор фішингових сторінок, захоплювач PIN-коду/шаблона блокування екрана та викрадач SMS. Останнє викликає особливе занепокоєння, оскільки воно може витягувати одноразові паролі, таким чином дозволяючи зловмисникам обійти захист двофакторної автентифікації.
Для здійснення своєї діяльності зі збору даних зловмисне програмне забезпечення Chameleon покладається на зловживання службами доступності. Це надає зловмисному програмному забезпеченню можливість відстежувати вміст екрана, виявляти певні події, змінювати елементи інтерфейсу та за потреби надсилати необхідні виклики API.
Зловмисне програмне забезпечення Chameleon Mobile забезпечує стійкість на заражених пристроях
Окрім збирання даних, зловмисне програмне забезпечення Chameleon також використовує служби доступності, щоб перешкоджати видаленню небезпечної програми. Це досягається шляхом моніторингу спроб видалення жертвою та видалення спільних змінних налаштувань, пов’язаних із шкідливим програмним забезпеченням. Це створює враження, ніби програму було видалено, хоча насправді вона залишається на пристрої.
Крім того, компанія з кібербезпеки Cyble виявила код у Chameleon, який дозволяє завантажувати корисне навантаження під час виконання та зберігати його на хост-пристрої як файл «.jar». Цей файл призначено для запуску пізніше через DexClassLoader. Однак ця функція, здається, зараз не використовується зловмисним програмним забезпеченням.
