Chamäleon-Malware für Mobilgeräte
Seit Anfang 2023 wurde eine neue Form des Android-Trojaners namens „Chameleon“ entdeckt, der auf Benutzer in Australien und Polen abzielt. und die IKO-Bank.
Laut der Cybersicherheitsfirma Cyble soll die Verbreitung dieser mobilen Malware über verschiedene Kanäle erfolgt sein. Dazu gehören kompromittierte Websites, Anhänge auf der beliebten Kommunikationsplattform Discord und Hosting-Dienste von Bitbucket. Darüber hinaus verfügt der Android-Trojaner Chameleon über ein breites Spektrum an schädlichen Fähigkeiten, die den Diebstahl von Benutzeranmeldeinformationen durch Overlay-Injektionen und Keylogging sowie das Sammeln von Cookies und SMS-Nachrichten von dem kompromittierten Gerät umfassen.
Inhaltsverzeichnis
Chameleon führt verschiedene Anti-Erkennungs-Checks durch
Bei der Ausführung auf dem angegriffenen Android-Gerät verwendet die mobile Chameleon-Malware mehrere Techniken, um der Erkennung durch Sicherheitssoftware zu entgehen. Zu diesen Taktiken gehören Anti-Emulationsprüfungen, um festzustellen, ob das Gerät gerootet ist und ob das Debugging aktiviert wurde. Wenn die Bedrohung erkennt, dass sie in der Umgebung eines Analysten ausgeführt wird, kann sie den Infektionsprozess vollständig abbrechen, um eine Erkennung zu vermeiden.
Wenn es feststellt, dass die Umgebung sicher ist, fährt Chameleon mit seiner bösartigen Programmierung fort und fordert das Opfer auf, es zur Nutzung des Accessibility Service zu autorisieren. Diese Berechtigung wird dann von der Bedrohung ausgenutzt, um sich selbst zusätzliche Privilegien zu gewähren, Google Play Protect zu deaktivieren und das Opfer daran zu hindern, den Trojaner zu deinstallieren.
Angreifer können über Chameleon Mobile Malware verschiedene bedrohliche Aktivitäten ausführen
Beim Herstellen einer Verbindung mit dem Command and Control (C2)-Server initiiert die Chameleon-Malware die Kommunikation, indem sie die Version, das Modell, den Root-Status, das Land und den genauen Standort des Geräts sendet. Es wird angenommen, dass dies ein Versuch ist, die neue Infektion zu profilieren und ihre Aktivitäten entsprechend anzupassen.
Anschließend öffnet die Malware abhängig von der Einheit, die sie vorgibt, eine legitime URL in einem WebView und beginnt im Hintergrund mit dem Laden schädlicher Module. Zu diesen Modulen gehören ein Cookie-Stealer, ein Keylogger, ein Phishing-Seiten-Injektor, ein Sperrbildschirm-PIN/Muster-Grabber und ein SMS-Stealer. Letzteres ist besonders besorgniserregend, da es Einmalpasswörter extrahieren kann, wodurch es den Angreifern ermöglicht wird, den Zwei-Faktor-Authentifizierungsschutz zu umgehen.
Zur Durchführung ihrer Datenerfassungsaktivitäten verlässt sich die Chameleon-Malware auf den Missbrauch von Accessibility Services. Dies verleiht der Malware die Möglichkeit, Bildschirminhalte zu überwachen, bestimmte Ereignisse zu erkennen, Elemente der Benutzeroberfläche zu ändern und erforderliche API-Aufrufe nach Bedarf zu senden.
Die Chameleon Mobile Malware etabliert Persistenz auf infizierten Geräten
Zusätzlich zu ihren Datenerfassungsaktivitäten nutzt die Chameleon-Malware auch die Accessibility Services, um die Entfernung der unsicheren Anwendung zu verhindern. Dies wird erreicht, indem die Deinstallationsversuche des Opfers überwacht und die mit der Malware verknüpften gemeinsamen Präferenzvariablen gelöscht werden. Dadurch sieht es so aus, als ob die App deinstalliert wurde, obwohl sie tatsächlich auf dem Gerät verbleibt.
Darüber hinaus hat das Cybersicherheitsunternehmen Cyble Code in Chameleon entdeckt, der es ihm ermöglicht, eine Nutzlast während der Laufzeit herunterzuladen und auf dem Hostgerät als „.jar“-Datei zu speichern. Diese Datei soll später über DexClassLoader ausgeführt werden. Diese Funktion scheint jedoch derzeit nicht von der Malware verwendet zu werden.
