Από τις αρχές του 2021, ένα Android malware trojan με την ονομασία “Chameleon” έχει στοχεύσει χρήστες τόσο στην Αυστραλία όσο και στην Πολωνία. Αυτό το κακόβουλο λογισμικό μιμείται διάσημα brands όπως το crypto exchange CoinSpot, μια αξιόπιστη αυστραλιανή κυβερνητική υπηρεσία και το IKO mobile app.

Η Cyble, γνωστή εταιρεία κυβερνοασφάλειας, αποκάλυψε το κακόβουλο λογισμικό για κινητά που διαδίδεται μέσω ύποπτων ιστότοπων, Discord attachments και της υπηρεσίας φιλοξενίας Bitbucket.

Το Chameleon είναι ένα κακόβουλο πρόγραμμα που έχει τη δυνατότητα να κλέβει credentials χρηστών μέσω overlay injections και keylogging, ενώ ακόμα κλέβει cookies και μηνύματα SMS από συσκευές που έχουν παραβιαστεί.

Αποφυγή ανίχνευσης

Για να αποφύγει την ανίχνευση από λογισμικό ασφαλείας, το Chameleon Android malware εκτελεί ένα ευρύ φάσμα ελέγχων. Αυτοί οι έλεγχοι περιλαμβάνουν ελέγχους anti-emulation για να διαπιστωθεί εάν η συσκευή είναι rooted και αν έχει ενεργοποιηθεί ο εντοπισμός σφαλμάτων (αυτά δείχνουν ότι πιθανότατα η κακόβουλη εφαρμογή εκτελείται σε περιβάλλον αναλυτή).

Εάν το περιβάλλον φαίνεται καθαρό, η μόλυνση συνεχίζεται και το Chameleon malware ζητά από το θύμα να του επιτρέψει να χρησιμοποιήσει την Υπηρεσία Προσβασιμότητας, την οποία χρησιμοποιεί για να αποκτήσει πρόσθετα δικαιώματα, να απενεργοποιήσει το Google Play Protect και να σταματήσει μια πιθανή προσπάθεια του χρήστη να απεγκαταστήσει την εφαρμογή.

Μόλις συνδεθεί με το C2, το Chameleon στέλνει πληροφορίες όπως η έκδοση της συσκευής, το μοντέλο, η κατάσταση root, η χώρα και η ακριβής τοποθεσία για να δημιουργήσει ένα προφίλ της τελευταίας μόλυνσης.

Στη συνέχεια, ανάλογα με την οντότητα που υποδύεται το κακόβουλο λογισμικό, ανοίγει τη νόμιμη διεύθυνση URL σε ένα WebView και ξεκινά τη φόρτωση κακόβουλων modules στο παρασκήνιο. Αυτά περιλαμβάνουν ένα πρόγραμμα κλοπής cookie, ένα keylogger, έναν injector σελίδων phishing, έναν lock screen PIN/pattern grabber και ένα πρόγραμμα κλοπής SMS που μπορεί να αρπάξει κωδικούς πρόσβασης μίας χρήσης και να βοηθήσει τους εισβολείς να παρακάμψουν τις προστασίες 2FA.

Τα περισσότερα από αυτά τα συστήματα κλοπής δεδομένων του Chameleon malware βασίζονται στην κατάχρηση των Υπηρεσιών Προσβασιμότητας, επιτρέποντας στο κακόβουλο λογισμικό να παρακολουθεί το περιεχόμενο της οθόνης, να παρακολουθεί συγκεκριμένα συμβάντα, να παρεμβαίνει για να τροποποιεί στοιχεία διεπαφής ή να στέλνει ορισμένα API calls.

Η ίδια υπηρεσία χρησιμοποιείται, επίσης, για να αποτραπεί η απεγκατάσταση του κακόβουλου λογισμικού, εντοπίζοντας πότε το θύμα επιχειρεί να αφαιρέσει την κακόβουλη εφαρμογή και διαγράφοντας shared preference variables για να φαίνεται σαν να μην υπάρχει πλέον στη συσκευή. Η διαγραφή των shared preferences files αναγκάζει την εφαρμογή να αποκαταστήσει την επικοινωνία με το C2 την επόμενη φορά που θα ξεκινήσει, αλλά εμποδίζει την απεγκατάστασή της και καθιστά πιο δύσκολη την ανάλυση για τους ερευνητές.

Η Cyble παρατήρησε επίσης κώδικα που επιτρέπει στον Chameleon Android malware να κατεβάσει ένα payload κατά τη διάρκεια του runtime και να το αποθηκεύσει στο host ως αρχείο “.jar”, για να εκτελεστεί αργότερα μέσω του DexClassLoader. Ωστόσο, αυτή η δυνατότητα δεν χρησιμοποιείται αυτήν τη στιγμή.

Το Chameleon είναι μια αναδυόμενη απειλή που μπορεί να προσθέσει περισσότερες δυνατότητες σε μελλοντικές εκδόσεις.

Τα Android malware αποτελούν σοβαρή απειλή για την ασφάλεια και το απόρρητό σας στο διαδίκτυο. Ωστόσο, έχοντας επίγνωση των τύπων κακόβουλου λογισμικού, πώς μολύνουν τη συσκευή σας και πώς να προστατευτείτε από αυτά, μπορείτε να ελαχιστοποιήσετε τους κινδύνους και να απολαύσετε τη χρήση της συσκευής σας Android με σιγουριά. Να θυμάστε πάντα να κατεβάζετε εφαρμογές από αξιόπιστες πηγές, να διατηρείτε ενημερωμένες τις λειτουργίες ασφαλείας της συσκευής σας, να χρησιμοποιείτε λογισμικό προστασίας από ιούς και να εφαρμόζετε συνήθειες ασφαλούς περιήγησης. Ακολουθώντας αυτά τα απλά βήματα, μπορείτε να παραμείνετε ασφαλείς από τις βλαβερές συνέπειες του κακόβουλου λογισμικού για Android.

Πηγή: www.bleepingcomputer.com

Αφήστε ένα Σχόλιο

Το e-mail σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Διαβάστε επίσης

Η Google θα σε ενημερώνει όταν τα στοιχεία σου εμφανίζονται στην αναζήτηση

Η Google σε νέα ανάρτηση που έκανε στο Blog της, ανακοίνωσε νέα χαρακτηριστικά που θα στοχεύουν στα προσωπικά δεδομένα και την ασφάλεια στο διαδίκτυο.

Google: Πρώην υπάλληλος προειδοποιεί σχετικά με το AI

Η Δρ. Timnit Gebru, η πρώην ερευνήτρια της Google AI που διώχθηκε από την εταιρεία τον Δεκέμβριο του 2020 επειδή εκφράστηκε ανοιχτά κατά της ανήθικης τεχνητής νοημοσύνης, προειδοποιεί μια ακόμα φορά για την πορεία της τεχνητής νοημοσύνης.

Παραπληροφόρηση, αμφιβολίες MFA και AI: Όλα όσα είδαμε στο RSAC 2023

Το συνέδριο RSAC είναι μια μαζική συγκέντρωση των μεγαλύτερων ονομάτων και εταιρειών στον τομέα της κυβερνοασφάλειας. Ακολουθούν τα καλύτερα και τα πιο τρομακτικά πράγματα που είδαμε φέτος.