變色龍移動惡意軟件

自 2023 年初以來，已檢測到一種名為“變色龍”的新型 Android 木馬針對澳大利亞和波蘭的用戶。這種特殊的惡意軟件旨在模仿合法實體，例如澳大利亞政府機構 CoinSpot 加密貨幣交易所，和 IKO 銀行。

據網絡安全公司 Cyble 稱，這種移動惡意軟件被認為是通過各種渠道傳播的。其中包括受感染的網站、流行通信平台 Discord 上的附件以及 Bitbucket 提供的託管服務。此外，Chameleon Android 木馬擁有廣泛的有害功能，包括通過覆蓋注入和鍵盤記錄竊取用戶憑據，以及從受感染設備收集 cookie 和 SMS 消息。

Chameleon 執行各種反檢測檢查

在被破壞的 Android 設備上執行後，Chameleon 移動惡意軟件採用多種技術來逃避安全軟件的檢測。這些策略包括反仿真檢查，以確定設備是否已獲得 root 權限以及是否已激活調試。如果威脅檢測到它正在分析師的環境中運行，它可能會完全中止感染過程以避免被發現。

如果確定環境是安全的，Chameleon 會繼續其惡意編程並提示受害者授權它使用輔助功能服務。然後威脅利用此權限授予自己額外的權限，關閉 Google Play Protect，並阻止受害者卸載木馬。

攻擊者可以通過變色龍移動惡意軟件執行各種威脅活動

在與命令和控制 (C2) 服務器建立連接後，變色龍惡意軟件通過發送設備的版本、型號、根狀態、國家和精確位置來啟動通信。這被認為是試圖分析新的感染並相應地調整其活動。

隨後，根據惡意軟件所模擬的實體，它會在 WebView 中打開一個合法的 URL，並開始在後台加載惡意模塊。這些模塊包括一個 cookie 竊取器、一個鍵盤記錄器、一個網絡釣魚頁面注入器、一個鎖屏 PIN/模式抓取器和一個 SMS 竊取器。後者尤其令人擔憂，因為它可以提取一次性密碼，從而允許攻擊者繞過雙因素身份驗證保護。

Chameleon 惡意軟件依賴於濫用輔助功能服務來執行其數據收集活動。這使惡意軟件能夠監視屏幕內容、檢測特定事件、修改界面元素以及根據需要發送必要的 API 調用。

Chameleon 移動惡意軟件在受感染的設備上建立持久性

除了數據收集活動之外，Chameleon 惡意軟件還利用輔助功能服務來阻止刪除不安全的應用程序。它通過監視受害者的卸載嘗試並刪除與惡意軟件關聯的共享首選項變量來實現此目的。這使得該應用程序看起來好像已被卸載，而實際上它仍保留在設備上。

此外，網絡安全公司 Cyble 在 Chameleon 中發現了代碼，允許它在運行時下載有效負載並將其作為“.jar”文件保存在主機設備上。該文件旨在稍後通過 DexClassLoader 執行。但是，該惡意軟件目前似乎並未使用此功能。