近日�,網(wǎng)絡(luò)安全公司 Cyble 發(fā)現(xiàn)一種名為 Chameleon(“變色龍”)的新安卓惡意軟件冒充澳大利亞政府機(jī)構(gòu) CoinSpot 加密貨幣交易所和 IKO 銀行��,通過受損網(wǎng)站�、Discord 附件和 Bitbucket 托管服務(wù)進(jìn)行分發(fā),對澳大利亞和波蘭的用戶展開網(wǎng)絡(luò)攻擊���。
(資料圖)
Cyble 的安全研究人員表示 Chameleon 主要通過疊加注入和密鑰記錄�、cookie 和受感染設(shè)備的短信竊取用戶憑據(jù)��。
能夠逃避安全軟件檢查
該惡意軟件有很強(qiáng)的逃避安全檢查能力�,一旦啟動(dòng)后會立即執(zhí)行各種“檢查”,以逃避安全軟件的檢測����。(據(jù)悉,“檢查”主要包括反仿真檢查�����,以檢測設(shè)備是否已扎根并激活調(diào)試,從而增加惡意軟件應(yīng)用程序在系統(tǒng)安全環(huán)境中運(yùn)行的可能性�。)
如果檢查結(jié)果顯示受害系統(tǒng)環(huán)境很“干凈”,Chameleon 就會請求受害者允許其使用無障礙服務(wù)����,并濫用該服務(wù)授予自身額外的權(quán)限,以期禁用 Google Play Protect�����。
請求允許使用無障礙服務(wù)(Cyble)
在與 C2 第一次連接時(shí)���, 為了解最新的感染情況,Chameleon 灰發(fā)送設(shè)備版本����、型號、根狀態(tài)�����、國家和精確位置����。接下來��,根據(jù)惡意軟件模擬的實(shí)體����,它會在 WebView 中打開其合法 URL��,并開始在后臺加載惡意模塊���。
值得一提的事�����,這些模塊包括一個(gè) cookie 竊取器����、一個(gè)鍵盤記錄器��、一個(gè)網(wǎng)絡(luò)釣魚頁面注射器�����、一個(gè)鎖屏 PIN/模式抓取器��,以及一個(gè)可以竊取一次性密碼并幫助攻擊者繞過 2FA 保護(hù)的短信竊取器�����。
短信攔截(Cyble)
研究人員分析后發(fā)現(xiàn)上述惡意模塊大多依賴可訪問性服務(wù)濫用來按需工作,從而使 Chameleon 惡意軟件能夠監(jiān)控屏幕內(nèi)容����、監(jiān)控特定事件、進(jìn)行干預(yù)以修改界面元素�,或根據(jù)需要發(fā)送某些 API 調(diào)用。
濫用無障礙服務(wù)來檢索鎖屏密碼(Cyble)
一部分惡意模塊被用于阻止惡意軟件的卸載�,識別受害者何時(shí)試圖刪除惡意應(yīng)用程序,并刪除其共享的首選項(xiàng)變量�,使其看起來好像不再存在于設(shè)備中。
自動(dòng)刪除共享首選項(xiàng)變量(Cyble)
共享的首選項(xiàng)變量的擦除使得 Chameleon 惡意應(yīng)用程序在下次啟動(dòng)時(shí)重新建立與 C2 的通信����,但阻止了其卸載��,并使研究人員更難進(jìn)行分析�����。
Cyble 還觀察到一些代碼��,這些代碼使 Chameleon 能夠在運(yùn)行時(shí)下載有效負(fù)載�����,并將其保存在主機(jī)上作為“.jar”文件,稍后通過 DexClassLoader 執(zhí)行����,但此功能目前尚未使用。
下載額外有效載荷的代碼(Cyble)
Chameleon 作為一種新興惡意軟件威脅����,可能會在未來的版本中增加更多的功能,因此網(wǎng)絡(luò)安全專家建議安卓用戶保持謹(jǐn)慎安裝應(yīng)用程序�����,只從官方商店下載軟件�����,并確保其設(shè)備始終啟用了Google Play Protect����。
