Chameleon Android Trooja pakub biomeetrilist ümbersõitu

Chameleon Android Trooja pakub biomeetrilist ümbersõitu

Ajatempel: 21. detsember 2023 kell 11:20
Chameleon Android Trooja pakub biomeetrilist ümbersõitu PlatoBlockchain andmete luurele. Vertikaalne otsing. Ai.

Androidi uus variant pangandus troojalane on ilmnenud, et saab biomeetrilisest turvalisusest mööda hiilida seadmetesse tungida, demonstreerides ründevara arengut, mida ründajad praegu laiema hulga ohvrite vastu kasutavad.

Chameleon pangandustroojalane, mida nimetatakse selle võime tõttu kohaneda oma keskkonnaga mitme uue käsu abil, ilmus esmakordselt lavale jaanuaris „töötaval versioonil”, mis oli suunatud Austraalia ja Poola kasutajatele. Andmepüügilehtede kaudu levinud pahavara käitumist iseloomustas siis võime esineda usaldusväärsete rakendustega, maskeerides end sellisteks institutsioonideks nagu Austraalia maksuamet (ATO) ja populaarseks. pangarakendused Poolas, et varastada andmeid kasutaja seadmetest.

Nüüd on Threat Fabricu teadlased avastanud Chameleoni uue, keerukama versiooni, mis on samuti suunatud Android kasutajad Ühendkuningriigis ja Itaalias ning levib Dark Web kaudu Zombinderi rakenduste jagamise teenus maskeeritud Google Chrome'i rakenduseks, nad paljastasid 21. detsembril avaldatud ajaveebi postituses.

Variant sisaldab mitmeid uusi funktsioone, mis muudavad selle Androidi kasutajatele veelgi ohtlikumaks kui selle eelmine kehastus, sealhulgas uus võimalus katkestada sihitud seadme biomeetrilised toimingud, ütlesid teadlased.

Avades biomeetrilise juurdepääsu (näiteks näotuvastus või sõrmejälgede skannimine), saavad ründajad klahvilogimise funktsioonide kaudu juurde pääseda PIN-koodidele, paroolidele või graafilistele võtmetele ning avada seadmeid varem varastatud PIN-koodide või paroolide abil. Threat Fabricu analüüsi kohaselt on see funktsioon biomeetrilistest turvameetmetest tõhusalt mööda hiilimiseks murettekitav areng mobiilse pahavara maastikul.

Uurijad leidsid, et variandil on ka laiendatud funktsioon, mis kasutab Androidi juurdepääsetavuse teenust seadme ülevõtmise rünnakute jaoks, samuti paljudes teistes troojalastes leiduv võimalus lubada ülesannete ajastamist AlarmManageri API abil.

"Need täiustused suurendavad uue Chameleoni variandi keerukust ja kohanemisvõimet, muutes selle tugevamaks ohuks mobiilipanganduse troojalaste pidevalt areneval maastikul," kirjutasid nad.

Kameeleon: kuju muutev biomeetriline võime

Kokkuvõttes näitavad Chameleoni kolm erinevat uut funktsiooni, kuidas ohus osalejad reageerivad ja püüavad pidevalt mööda minna uusimatest turvameetmetest, mis on loodud nende jõupingutuste vastu võitlemiseks, vastavalt Threat Fabricile.

Pahavara peamine uus võimalus seadme biomeetrilise turvalisuse keelamiseks on lubatud käsuga "interrupt_biometric", mis käivitab meetodi "InterruptBiometric". Meetod kasutab Androidi KeyguardManageri API-t ja AccessibilityEventi, et hinnata seadme ekraani ja klahviluku olekut, hinnates viimase olekut erinevate lukustusmehhanismide, näiteks mustri, PIN-koodi või parooli järgi.

Määratud tingimuste täitmisel kasutab pahavara seda toimingut üleminekuks biomeetriline autentimine Teadlased leidsid, et PIN-koodiga autentimine, biomeetrilisest viipast mööda minnes ja troojalasel seade soovi korral avada.

See omakorda annab ründajatele kaks eelist: muudab isikuandmete (nt PIN-koodid, paroolid või graafilised võtmed) varastamise lihtsaks ning võimaldab neil siseneda biomeetriliselt kaitstud seadmetesse, kasutades varem varastatud PIN-koode või paroole, kasutades juurdepääsetavust vastavalt Threat Fabricile. .

"Nii et kuigi ohvri biomeetrilised andmed jäävad näitlejatele kättesaamatuks, sunnivad nad seadet tagasi PIN-koodiga autentimisele, jättes seeläbi biomeetrilisest kaitsest täielikult mööda," seisab postituses.

Veel üks oluline uus funktsioon on HTML-i viip juurdepääsetavuse teenuse lubamiseks, millest Chameleon sõltub rünnaku käivitamisel seadme ülevõtmiseks. Funktsioon hõlmab seadmespetsiifilist kontrolli, mis aktiveeritakse käsu ja juhtimise (C13) serverist käsu „android_2” saamisel, kuvatakse HTML-leht, mis palub kasutajatel lubada juurdepääsetavuse teenus ja seejärel juhendab neid käsitsi. - samm-sammult protsess.

Kolmas funktsioon uues variandis tutvustab võimalust, mida leidub ka paljudes teistes pangandustroojalastes, kuid mida seni Chameleonil ei olnud: ülesannete ajastamine AlarmManageri API abil.

Kuid erinevalt selle funktsiooni muudest ilmingutest pangandustroojalastes kasutab Chameleoni rakendamine Threat Fabrici sõnul "dünaamilist lähenemist, mis käsitleb tõhusalt juurdepääsetavust ja tegevuste käivitamist kooskõlas troojalaste tavapärase käitumisega". See teeb seda, toetades uut käsku, mis suudab määrata, kas juurdepääsetavus on lubatud või mitte, lülitudes dünaamiliselt erinevate pahatahtlike tegevuste vahel olenevalt selle funktsiooni olekust seadmes.

"Juurdepääsetavusseadete manipuleerimine ja dünaamilised tegevused rõhutavad veelgi, et uus Chameleon on keerukas Androidi pahavara tüvi," teatab Threat Fabric.

Pahavara ohustatud Android-seadmed

Rünnakutega Android-seadmete hüppelise kasvu vastu, on see mobiilikasutajate jaoks olulisem kui kunagi varem olge allalaadimisel ettevaatlik turvaeksperdid nõustavad kõiki nende seadmes olevaid rakendusi, mis tunduvad kahtlased või mida ei levitata seaduslike rakenduste poodide kaudu.

"Kuna ohus osalejad arenevad edasi, osutub see dünaamiline ja valvas lähenemine oluliseks käimasolevas võitluses keeruliste küberohtude vastu," kirjutasid teadlased.

Threat Fabric suutis jälgida ja analüüsida Chameleoni proove, mis on seotud uuendatud Zombinderiga, mis kasutab keerukas kaheetapiline kasuliku koormuse protsess troojalase eemaldamiseks. Postituse kohaselt kasutavad nad SESSION_API-d PackageInstalleri kaudu, juurutades Chameleoni näidiseid koos pahavaraperekonnaga Hook.

Threat Fabric avaldas oma analüüsis kompromissi (IoC) näitajad Chameleoniga seotud räside, rakenduste nimede ja pakettide nimede kujul, et kasutajad ja administraatorid saaksid jälgida võimalikku trooja nakatumist.

Ajatempel:

Veel alates Tume lugemine