Novo malware Android Chameleon imita aplicativos bancários, governamentais e criptográficos

novo-malware-android-chameleon-imita-aplicativos-bancarios-governamentais-e-criptograficos

Um novo malware para Android chamado Chameleon foi pego imitando aplicativos bancários, governamentais e criptofráficos. De acordo com as informações, ele tem como alvo usuários na Austrália e na Polônia desde o início do ano, imitando a exchange de criptomoedas CoinSpot, uma agência do governo australiano e o banco IKO.

Malware Android Chameleon

O Chameleon foi descoberto pela empresa de segurança cibernética Cyble, que relata a distribuição por meio de sites comprometidos, anexos do Discord e serviços de hospedagem Bitbucket. Ele inclui uma ampla gama de funcionalidades maliciosas, incluindo o roubo de credenciais do usuário por meio de injeções de sobreposição e keylogging, cookies e textos SMS do dispositivo infectado.

Após o lançamento, o malware executa uma variedade de verificações para evitar a detecção pelo software de segurança. Essas verificações incluem verificações antiemulação para detectar se o dispositivo está enraizado e a depuração está ativada, aumentando a probabilidade de o aplicativo estar sendo executado no ambiente de um analista.

Se o ambiente parecer limpo, a infecção continua e o Chameleon solicita à vítima permissão para usar o Serviço de Acessibilidade, do qual abusa para conceder a si mesmo permissões adicionais, desabilitar o Google Play Protect e impedir que o usuário o desinstale.

imagem: reprodução | bleeping computer

Na primeira conexão com o C2, o Chameleon envia a versão do dispositivo, modelo, status da raiz, país e localização precisa, provavelmente para traçar o perfil da nova infecção. Em seguida, dependendo de qual entidade o malware personifica, ele abre seu URL legítimo em um WebView e começa a carregar módulos maliciosos em segundo plano.

Isso inclui um ladrão de cookies, um keylogger, um injetor de páginas de phishing, um sequestrador de PIN/padrão de tela de bloqueio e um ladrão de SMS que pode capturar senhas únicas e ajudar os invasores a ignorar as proteções 2FA.

imagem: reprodução | bleeping computer

A maioria desses sistemas de roubo de dados depende do abuso dos Serviços de Acessibilidade para funcionar conforme necessário, permitindo que o malware monitore o conteúdo da tela, monitore eventos específicos, interfira para modificar elementos da interface ou envie determinadas chamadas de API conforme necessário.

O mesmo serviço do sistema também é abusado para impedir a desinstalação do malware, identificando quando a vítima tenta remover o aplicativo malicioso e excluindo suas variáveis ??de preferência compartilhada para fazer parecer que não está mais presente no dispositivo.

A limpeza dos arquivos de preferências compartilhadas força o aplicativo a restabelecer as comunicações com o C2 na próxima vez que for iniciado, mas impede sua desinstalação e dificulta a análise dos pesquisadores.

Mais descobertas da Cyble

A Cyble também observou o código que permite ao Chameleon baixar uma carga útil durante o tempo de execução e salvá-la no host como um arquivo “.jar”, ??para ser executado posteriormente via DexClassLoader. No entanto, esse recurso não é usado atualmente.

Chameleon é uma ameaça emergente que pode adicionar mais recursos e capacidades em versões futuras.

Acesse a versão completa
Sair da versão mobile