变色龙移动恶意软件

自 2023 年初以来，已检测到一种名为“变色龙”的新型 Android 木马针对澳大利亚和波兰的用户。这种特殊的恶意软件旨在模仿合法实体，例如澳大利亚政府机构 CoinSpot 加密货币交易所，和 IKO 银行。

据网络安全公司 Cyble 称，这种移动恶意软件被认为是通过各种渠道传播的。其中包括受感染的网站、流行通信平台 Discord 上的附件以及 Bitbucket 提供的托管服务。此外，Chameleon Android 木马拥有广泛的有害功能，包括通过覆盖注入和键盘记录窃取用户凭据，以及从受感染设备收集 cookie 和 SMS 消息。

Chameleon 执行各种反检测检查

在被破坏的 Android 设备上执行后，Chameleon 移动恶意软件采用多种技术来逃避安全软件的检测。这些策略包括反仿真检查，以确定设备是否已获得 root 权限以及是否已激活调试。如果威胁检测到它正在分析师的环境中运行，它可能会完全中止感染过程以避免被发现。

如果确定环境是安全的，Chameleon 会继续其恶意编程并提示受害者授权它使用辅助功能服务。然后威胁利用此权限授予自己额外的权限，关闭 Google Play Protect，并阻止受害者卸载木马。

攻击者可以通过变色龙移动恶意软件执行各种威胁活动

在与命令和控制 (C2) 服务器建立连接后，变色龙恶意软件通过发送设备的版本、型号、根状态、国家和精确位置来启动通信。这被认为是试图分析新的感染并相应地调整其活动。

随后，根据恶意软件所模拟的实体，它会在 WebView 中打开一个合法的 URL，并开始在后台加载恶意模块。这些模块包括一个 cookie 窃取器、一个键盘记录器、一个网络钓鱼页面注入器、一个锁屏 PIN/模式抓取器和一个 SMS 窃取器。后者尤其令人担忧，因为它可以提取一次性密码，从而允许攻击者绕过双因素身份验证保护。

Chameleon 恶意软件依赖于滥用辅助功能服务来执行其数据收集活动。这使恶意软件能够监视屏幕内容、检测特定事件、修改界面元素以及根据需要发送必要的 API 调用。

Chameleon 移动恶意软件在受感染的设备上建立持久性

除了数据收集活动之外，Chameleon 恶意软件还利用辅助功能服务来阻止删除不安全的应用程序。它通过监视受害者的卸载尝试并删除与恶意软件关联的共享首选项变量来实现此目的。这使得该应用程序看起来好像已被卸载，而实际上它仍保留在设备上。

此外，网络安全公司 Cyble 在 Chameleon 中发现了代码，允许它在运行时下载有效负载并将其作为“.jar”文件保存在主机设备上。该文件旨在稍后通过 DexClassLoader 执行。但是，该恶意软件目前似乎并未使用此功能。