Chameleon Android Trojan بای پس بیومتریک را ارائه می دهد

یک نسخه جدید از اندروید تروجان بانکی ظاهر شده است که می تواند دور زدن امنیت بیومتریک برای نفوذ به دستگاه ها، نشان دهنده تکامل بدافزاری است که مهاجمان اکنون در برابر طیف وسیع تری از قربانیان استفاده می کنند.

تروجان بانکی Chameleon - که به دلیل توانایی آن برای انطباق با محیط خود از طریق چندین دستور جدید نامگذاری شده است - برای اولین بار در نسخه "کار در حال پیشرفت" در ژانویه به طور خاص برای هدف قرار دادن کاربران در استرالیا و لهستان در صحنه ظاهر شد. از طریق صفحات فیشینگ، رفتار بدافزار در آن زمان با توانایی جعل هویت برنامه‌های قابل اعتماد مشخص می‌شد، و خود را به عنوان نهادهایی مانند اداره مالیات استرالیا (ATO) و محبوب پنهان می‌کرد. برنامه های بانکی در لهستان برای سرقت داده ها از دستگاه های کاربر.

اکنون، محققان Threat Fabric نسخه جدید و پیچیده‌تری از آفتاب‌پرست را کشف کرده‌اند که همچنین هدف قرار می‌دهد. کاربران آندروید در بریتانیا و ایتالیا، و از طریق یک وب تاریک منتشر می شود سرویس اشتراک گذاری برنامه Zombinder پنهان شده به عنوان یک برنامه Google Chrome، آشکار کردند در یک پست وبلاگ منتشر شده در 21 دسامبر.

به گفته محققان، این نوع شامل چندین ویژگی جدید است که آن را برای کاربران اندروید از نسخه قبلی آن خطرناک‌تر می‌کند، از جمله توانایی جدید برای قطع کردن عملیات بیومتریک دستگاه مورد نظر.

با باز کردن قفل دسترسی بیومتریک (مثلاً تشخیص چهره یا اسکن اثر انگشت)، مهاجمان می‌توانند به پین‌ها، گذرواژه‌ها یا کلیدهای گرافیکی از طریق عملکردهای keylogging دسترسی داشته باشند و همچنین قفل دستگاه‌ها را با استفاده از پین‌ها یا گذرواژه‌های دزدیده شده قبلی باز کنند. بر اساس تحلیل Threat Fabric، «این عملکرد برای دور زدن مؤثر اقدامات امنیتی بیومتریک، توسعه نگران‌کننده‌ای در چشم‌انداز بدافزار موبایل است».

این نوع همچنین دارای یک ویژگی توسعه یافته است که از سرویس دسترسی اندروید برای حملات تصاحب دستگاه استفاده می کند، و همچنین قابلیتی که در بسیاری از تروجان های دیگر یافت می شود تا امکان زمان بندی کار با استفاده از AlarmManager API را فراهم کند.

آنها نوشتند: «این پیشرفت‌ها پیچیدگی و سازگاری نوع جدید آفتاب‌پرست را افزایش می‌دهد و آن را به تهدیدی قوی‌تر در چشم‌انداز همیشه در حال تکامل تروجان‌های بانکداری تلفن همراه تبدیل می‌کند.

آفتاب پرست: قابلیت بیومتریک تغییر شکل

به گفته Threat Fabric، به طور کلی، سه ویژگی جدید و متمایز Chameleon نشان می‌دهد که چگونه عوامل تهدید به آنها واکنش نشان می‌دهند و به طور مداوم به دنبال دور زدن آخرین اقدامات امنیتی طراحی‌شده برای مبارزه با تلاش‌هایشان هستند.

توانایی جدید کلیدی بدافزار برای غیرفعال کردن امنیت بیومتریک روی دستگاه با صدور فرمان "interrupt_biometric" فعال می شود که روش "InterruptBiometric" را اجرا می کند. این روش از Android KeyguardManager API و AccessibilityEvent برای ارزیابی صفحه نمایش دستگاه و وضعیت صفحه کلید استفاده می‌کند و وضعیت دومی را از نظر مکانیسم‌های قفل مختلف، مانند الگو، پین یا رمز عبور ارزیابی می‌کند.

پس از برآورده شدن شرایط مشخص شده، بدافزار از این عمل برای انتقال استفاده می کند احراز هویت بیومتریک محققین دریافتند به احراز هویت پین، دور زدن اعلان بیومتریک و اجازه دادن به تروجان برای باز کردن قفل دستگاه به دلخواه خود.

طبق گفته Threat Fabric، این به نوبه خود، دو مزیت را برای مهاجمان فراهم می‌کند: سرقت اطلاعات شخصی مانند پین، رمز عبور یا کلیدهای گرافیکی را آسان می‌کند و به آنها اجازه می‌دهد با استفاده از قابلیت دسترسی، با استفاده از پین‌ها یا گذرواژه‌های دزدیده شده قبلی وارد دستگاه‌های محافظت شده بیومتریک شوند. .

بر اساس این پست، اگرچه داده‌های بیومتریک قربانی برای بازیگران دور از دسترس باقی می‌ماند، آنها دستگاه را مجبور می‌کنند تا به احراز هویت پین برگردد و در نتیجه حفاظت بیومتریک را به طور کامل دور بزند.

یکی دیگر از ویژگی های کلیدی جدید، یک اعلان HTML برای فعال کردن سرویس دسترسی است، که آفتاب پرست به آن وابسته است تا حمله ای را انجام دهد. برای تصاحب دستگاه. این ویژگی شامل یک بررسی خاص دستگاه است که پس از دریافت فرمان «android_13» از سرور فرمان و کنترل (C2) فعال می‌شود، صفحه HTML را نمایش می‌دهد که از کاربران می‌خواهد سرویس دسترس‌پذیری را فعال کنند و سپس آنها را از طریق یک مرحله دستی راهنمایی می‌کند. فرآیند مرحله به مرحله

ویژگی سوم در نوع جدید، قابلیتی را معرفی می‌کند که در بسیاری از تروجان‌های بانکی نیز یافت می‌شود، اما Chameleon تاکنون از آن برخوردار نبوده است: زمان‌بندی وظایف با استفاده از AlarmManager API.

با این حال، برخلاف سایر جلوه‌های این ویژگی در تروجان‌های بانکی، پیاده‌سازی Chameleon یک «رویکرد پویا، مدیریت کارآمد دسترسی و راه‌اندازی فعالیت‌ها مطابق با رفتار استاندارد تروجان‌ها» دارد، طبق Threat Fabric. این کار را با پشتیبانی از یک فرمان جدید انجام می دهد که می تواند تعیین کند که آیا دسترسی فعال است یا خیر، به صورت پویا بین فعالیت های مخرب مختلف بسته به وضعیت این ویژگی در دستگاه جابجا می شود.

به گفته Threat Fabric، «دستکاری تنظیمات دسترسی و فعالیت پویا بیشتر نشان می‌دهد که Chameleon جدید یک نوع بدافزار پیچیده اندروید است».

دستگاه های اندرویدی در معرض خطر بدافزارها

با حملات در برابر افزایش سریع دستگاه های اندرویدی، برای کاربران تلفن همراه بسیار مهم تر از همیشه است مراقب دانلود باشید کارشناسان امنیتی توصیه می‌کنند هر برنامه‌ای در دستگاه خود که مشکوک به نظر می‌رسد یا از طریق فروشگاه‌های برنامه قانونی توزیع نشده است.

محققان نوشتند: «از آنجایی که بازیگران تهدید به تکامل خود ادامه می‌دهند، این رویکرد پویا و هوشیار در نبرد مداوم علیه تهدیدات سایبری پیچیده ضروری است.

Threat Fabric موفق شد نمونه هایی از آفتاب پرست مربوط به Zombinder به روز شده را ردیابی و آنالیز کند که از آن استفاده می کند. یک فرآیند دو مرحله ای پیچیده برای حذف تروجان. طبق این پست، آنها از SESSION_API از طریق PackageInstaller استفاده می‌کنند و نمونه‌های Chameleon را به همراه خانواده بدافزار Hook به کار می‌گیرند.

Threat Fabric در تجزیه و تحلیل خود، شاخص‌های سازش (IoCs) را به شکل هش، نام برنامه و نام بسته مرتبط با Chameleon منتشر کرد تا کاربران و مدیران بتوانند از نظر آلودگی احتمالی توسط تروجان نظارت کنند.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/endpoint-security/chameleon-android-trojan-offers-biometric-bypass