カメレオン モバイル マルウェア

「Chameleon」と呼ばれる新しい形式の Android トロイの木馬が、2023 年の初めからオーストラリアとポーランドの両方のユーザーを標的として検出されています。そしてIKO銀行。

サイバーセキュリティ会社の Cyble によると、このモバイル マルウェアの配布はさまざまなチャネルを通じて行われたと考えられています。これらには、侵害された Web サイト、人気のあるコミュニケーション プラットフォーム Discord の添付ファイル、Bitbucket が提供するホスティング サービスが含まれます。さらに、Chameleon Android トロイの木馬は、オーバーレイ インジェクションとキーロギングによるユーザー資格情報の盗難、侵害されたデバイスからの Cookie と SMS メッセージの収集を含む、広範な有害な機能を誇っています。

Chameleon はさまざまな検出防止チェックを実行します

侵害された Android デバイスで実行されると、Chameleon モバイル マルウェアはセキュリティ ソフトウェアによる検出を逃れるためにいくつかの手法を使用します。これらの戦術には、デバイスがルート化されているかどうか、およびデバッグがアクティブ化されているかどうかを判断するためのアンチエミュレーション チェックが含まれます。脅威がアナリストの環境で実行されていることを検出すると、検出を回避するために感染プロセスを完全に中止する可能性があります。

環境が安全であると判断した場合、Chameleon は悪意のあるプログラミングを続行し、被害者にユーザー補助サービスの使用を承認するように促します。その後、この権限は脅威によって悪用され、自身に追加の権限を付与し、Google Play プロテクトをオフにして、被害者がトロイの木馬をアンインストールできないようにします。

攻撃者は、カメレオン モバイル マルウェアを介してさまざまな脅威活動を実行できます

Command and Control (C2) サーバーとの接続を確立すると、Chameleon マルウェアはデバイスのバージョン、モデル、ルート ステータス、国、および正確な位置情報を送信して通信を開始します。これは、新しい感染をプロファイリングし、それに応じてその活動を調整しようとする試みであると考えられています。

続いて、マルウェアが偽装しているエンティティに応じて、WebView で正規の URL を開き、バックグラウンドで悪意のあるモジュールの読み込みを開始します。これらのモジュールには、Cookie スティーラー、キーロガー、フィッシング ページ インジェクター、ロック画面の PIN/パターン グラバー、および SMS スティーラーが含まれます。後者は、ワンタイム パスワードを抽出できるため、攻撃者が 2 要素認証保護をバイパスできるため、特に懸念されます。

Chameleon マルウェアは、データ収集活動を実行するために、アクセシビリティ サービスの悪用に依存しています。これにより、マルウェアは画面コンテンツを監視し、特定のイベントを検出し、インターフェース要素を変更し、必要に応じて必要な API 呼び出しを送信することができます。

Chameleon モバイル マルウェアは、感染したデバイス上で持続性を確立します

Chameleon マルウェアは、データ収集活動に加えて、アクセシビリティ サービスを利用して、安全でないアプリケーションの削除を妨害します。これは、被害者によるアンインストールの試みを監視し、マルウェアに関連付けられている共有設定変数を削除することで実現します。これにより、実際にはアプリがデバイスに残っているのに、アプリがアンインストールされたかのように見えます。

さらに、サイバーセキュリティ企業の Cyble は、実行中にペイロードをダウンロードし、それを「.jar」ファイルとしてホスト デバイスに保存できるようにするコードを Chameleon 内に発見しました。このファイルは、後で DexClassLoader を介して実行されることを目的としています。ただし、この機能は現在マルウェアによって使用されていないようです。