Από τις αρχές του 2021, ένα Android malware trojan με την ονομασία “Chameleon” έχει στοχεύσει χρήστες τόσο στην Αυστραλία όσο και στην Πολωνία. Αυτό το κακόβουλο λογισμικό μιμείται διάσημα brands όπως το crypto exchange CoinSpot, μια αξιόπιστη αυστραλιανή κυβερνητική υπηρεσία και το IKO mobile app.
Η Cyble, γνωστή εταιρεία κυβερνοασφάλειας, αποκάλυψε το κακόβουλο λογισμικό για κινητά που διαδίδεται μέσω ύποπτων ιστότοπων, Discord attachments και της υπηρεσίας φιλοξενίας Bitbucket.
Το Chameleon είναι ένα κακόβουλο πρόγραμμα που έχει τη δυνατότητα να κλέβει credentials χρηστών μέσω overlay injections και keylogging, ενώ ακόμα κλέβει cookies και μηνύματα SMS από συσκευές που έχουν παραβιαστεί.
Δείτε επίσης: Συνεργασία πρώην μελών της Conti και των hackers FIN7 για τη διανομή του Domino malware
Καταιγίδες μεγαλύτερες από τη Γη εντοπίστηκαν στον Δία
Black Basta ransomware: Όλες οι νέες τακτικές
Αποκαλύψεις για τον Μεγαλύτερο Κρατήρα του Φεγγαριού
Αποφυγή ανίχνευσης
Για να αποφύγει την ανίχνευση από λογισμικό ασφαλείας, το Chameleon Android malware εκτελεί ένα ευρύ φάσμα ελέγχων. Αυτοί οι έλεγχοι περιλαμβάνουν ελέγχους anti-emulation για να διαπιστωθεί εάν η συσκευή είναι rooted και αν έχει ενεργοποιηθεί ο εντοπισμός σφαλμάτων (αυτά δείχνουν ότι πιθανότατα η κακόβουλη εφαρμογή εκτελείται σε περιβάλλον αναλυτή).
Εάν το περιβάλλον φαίνεται καθαρό, η μόλυνση συνεχίζεται και το Chameleon malware ζητά από το θύμα να του επιτρέψει να χρησιμοποιήσει την Υπηρεσία Προσβασιμότητας, την οποία χρησιμοποιεί για να αποκτήσει πρόσθετα δικαιώματα, να απενεργοποιήσει το Google Play Protect και να σταματήσει μια πιθανή προσπάθεια του χρήστη να απεγκαταστήσει την εφαρμογή.
Μόλις συνδεθεί με το C2, το Chameleon στέλνει πληροφορίες όπως η έκδοση της συσκευής, το μοντέλο, η κατάσταση root, η χώρα και η ακριβής τοποθεσία για να δημιουργήσει ένα προφίλ της τελευταίας μόλυνσης.
Στη συνέχεια, ανάλογα με την οντότητα που υποδύεται το κακόβουλο λογισμικό, ανοίγει τη νόμιμη διεύθυνση URL σε ένα WebView και ξεκινά τη φόρτωση κακόβουλων modules στο παρασκήνιο. Αυτά περιλαμβάνουν ένα πρόγραμμα κλοπής cookie, ένα keylogger, έναν injector σελίδων phishing, έναν lock screen PIN/pattern grabber και ένα πρόγραμμα κλοπής SMS που μπορεί να αρπάξει κωδικούς πρόσβασης μίας χρήσης και να βοηθήσει τους εισβολείς να παρακάμψουν τις προστασίες 2FA.
Δείτε επίσης: Kyocera: Εκμεταλλεύεται για τη διανομή κακόβουλου λογισμικού
Τα περισσότερα από αυτά τα συστήματα κλοπής δεδομένων του Chameleon malware βασίζονται στην κατάχρηση των Υπηρεσιών Προσβασιμότητας, επιτρέποντας στο κακόβουλο λογισμικό να παρακολουθεί το περιεχόμενο της οθόνης, να παρακολουθεί συγκεκριμένα συμβάντα, να παρεμβαίνει για να τροποποιεί στοιχεία διεπαφής ή να στέλνει ορισμένα API calls.
Η ίδια υπηρεσία χρησιμοποιείται, επίσης, για να αποτραπεί η απεγκατάσταση του κακόβουλου λογισμικού, εντοπίζοντας πότε το θύμα επιχειρεί να αφαιρέσει την κακόβουλη εφαρμογή και διαγράφοντας shared preference variables για να φαίνεται σαν να μην υπάρχει πλέον στη συσκευή. Η διαγραφή των shared preferences files αναγκάζει την εφαρμογή να αποκαταστήσει την επικοινωνία με το C2 την επόμενη φορά που θα ξεκινήσει, αλλά εμποδίζει την απεγκατάστασή της και καθιστά πιο δύσκολη την ανάλυση για τους ερευνητές.
Η Cyble παρατήρησε επίσης κώδικα που επιτρέπει στον Chameleon Android malware να κατεβάσει ένα payload κατά τη διάρκεια του runtime και να το αποθηκεύσει στο host ως αρχείο “.jar”, για να εκτελεστεί αργότερα μέσω του DexClassLoader. Ωστόσο, αυτή η δυνατότητα δεν χρησιμοποιείται αυτήν τη στιγμή.
Το Chameleon είναι μια αναδυόμενη απειλή που μπορεί να προσθέσει περισσότερες δυνατότητες σε μελλοντικές εκδόσεις.
Δείτε επίσης: Παραβιασμένα sites διαδίδουν malware μέσω ψεύτικων Chrome updates
Τα Android malware αποτελούν σοβαρή απειλή για την ασφάλεια και το απόρρητό σας στο διαδίκτυο. Ωστόσο, έχοντας επίγνωση των τύπων κακόβουλου λογισμικού, πώς μολύνουν τη συσκευή σας και πώς να προστατευτείτε από αυτά, μπορείτε να ελαχιστοποιήσετε τους κινδύνους και να απολαύσετε τη χρήση της συσκευής σας Android με σιγουριά. Να θυμάστε πάντα να κατεβάζετε εφαρμογές από αξιόπιστες πηγές, να διατηρείτε ενημερωμένες τις λειτουργίες ασφαλείας της συσκευής σας, να χρησιμοποιείτε λογισμικό προστασίας από ιούς και να εφαρμόζετε συνήθειες ασφαλούς περιήγησης. Ακολουθώντας αυτά τα απλά βήματα, μπορείτε να παραμείνετε ασφαλείς από τις βλαβερές συνέπειες του κακόβουλου λογισμικού για Android.
Πηγή: www.bleepingcomputer.com