Una nuova variante di un Android trojan bancario è apparso che può bypassare la sicurezza biometrica per penetrare nei dispositivi, dimostrando un’evoluzione del malware che gli aggressori ora brandiscono contro una gamma più ampia di vittime.
Il trojan bancario Chameleon, così chiamato per la sua capacità di adattarsi all’ambiente attraverso molteplici nuovi comandi, è apparso per la prima volta sulla scena in una versione “work-in-progress” a gennaio, specificatamente per colpire gli utenti in Australia e Polonia. Diffuso attraverso pagine di phishing, il comportamento del malware era caratterizzato dalla capacità di impersonare app affidabili, mascherandosi da istituzioni come l'Australian Taxation Office (ATO) e popolari app bancarie in Polonia per rubare dati dai dispositivi degli utenti.
Ora, i ricercatori di Threat Fabric hanno individuato una nuova versione più sofisticata di Chameleon che prende di mira anche gli attacchi Gli utenti Android nel Regno Unito e in Italia e si diffonde attraverso il Dark Web Servizio di condivisione di app Zombinder mascherato da app Google Chrome, hanno rivelato in un post sul blog pubblicato il 21 dicembre.
La variante include diverse nuove funzionalità che la rendono ancora più pericolosa per gli utenti Android rispetto alla versione precedente, inclusa una nuova capacità di interrompere le operazioni biometriche del dispositivo preso di mira, hanno detto i ricercatori.
Sbloccando l'accesso biometrico (riconoscimento facciale o scansione delle impronte digitali, ad esempio), gli aggressori possono accedere a PIN, password o tasti grafici tramite funzionalità di keylogging, nonché sbloccare dispositivi utilizzando PIN o password precedentemente rubati. "Questa funzionalità per aggirare efficacemente le misure di sicurezza biometriche è uno sviluppo preoccupante nel panorama del malware mobile", secondo l'analisi di Threat Fabric.
I ricercatori hanno scoperto che la variante ha anche una funzionalità estesa che sfrutta il servizio di accessibilità di Android per attacchi di acquisizione dei dispositivi, nonché una capacità presente in molti altri trojan per consentire la pianificazione delle attività utilizzando l’API AlarmManager.
"Questi miglioramenti aumentano la sofisticatezza e l'adattabilità della nuova variante Chameleon, rendendola una minaccia più potente nel panorama in continua evoluzione dei trojan bancari mobili", hanno scritto.
Camaleonte: una capacità biometrica che cambia forma
Nel complesso, secondo Threat Fabric, le tre nuove funzionalità distinte di Chameleon dimostrano come gli autori delle minacce rispondono e cercano continuamente di aggirare le più recenti misure di sicurezza progettate per contrastare i loro sforzi.
La nuova capacità chiave del malware di disabilitare la sicurezza biometrica sul dispositivo viene abilitata emettendo il comando “interrupt_biometric”, che esegue il metodo “InterruptBiometric”. Il metodo utilizza l'API KeyguardManager di Android e AccessibilityEvent per valutare lo schermo del dispositivo e lo stato del keyguard, valutando lo stato di quest'ultimo in termini di vari meccanismi di blocco, come sequenza, PIN o password.
Una volta soddisfatte le condizioni specificate, il malware utilizza questa azione per passare da autenticazione biometrica I ricercatori hanno scoperto che si trattava di un'autenticazione tramite PIN, aggirando la richiesta biometrica e consentendo al Trojan di sbloccare il dispositivo a piacimento.
Ciò, a sua volta, offre agli aggressori due vantaggi: facilitare il furto di dati personali come PIN, password o chiavi grafiche e consentire loro di accedere a dispositivi protetti biometricamente utilizzando PIN o password precedentemente rubati sfruttando l'accessibilità, secondo Threat Fabric .
"Quindi, sebbene i dati biometrici della vittima rimangano fuori dalla portata degli autori, costringono il dispositivo a ricorrere all'autenticazione PIN, aggirando così completamente la protezione biometrica", secondo il post.
Un'altra nuova funzionalità chiave è un prompt HTML per abilitare il servizio di accessibilità, da cui Chameleon dipende per lanciare un attacco prendere in consegna il dispositivo. La funzionalità prevede un controllo specifico del dispositivo attivato alla ricezione del comando "android_13" dal server di comando e controllo (C2), visualizzando una pagina HTML che richiede agli utenti di abilitare il servizio di accessibilità e quindi guidandoli attraverso un passaggio manuale processo passo dopo passo.
Una terza caratteristica della nuova variante introduce una funzionalità presente anche in molti altri trojan bancari, ma che finora Chameleon non aveva: la pianificazione delle attività tramite l'API AlarmManager.
Tuttavia, a differenza di altre manifestazioni di questa funzionalità nei trojan bancari, l’implementazione di Chameleon adotta un “approccio dinamico, gestendo in modo efficiente l’accessibilità e il lancio di attività in linea con il comportamento standard dei trojan”, secondo Threat Fabric. Lo fa supportando un nuovo comando in grado di determinare se l'accessibilità è abilitata o meno, passando dinamicamente tra diverse attività dannose a seconda dello stato di questa funzionalità sul dispositivo.
"La manipolazione delle impostazioni di accessibilità e dei lanci di attività dinamica sottolinea ulteriormente che il nuovo Chameleon è un sofisticato ceppo di malware Android", secondo Threat Fabric.
Dispositivi Android a rischio di malware
Con attacchi contro i dispositivi Android in forte aumento, è più importante che mai per gli utenti di dispositivi mobili fare attenzione al download eventuali applicazioni sul dispositivo che sembrano sospette o non distribuite tramite app store legittimi, consigliano gli esperti di sicurezza.
“Mentre gli attori delle minacce continuano ad evolversi, questo approccio dinamico e vigile si rivela essenziale nella battaglia in corso contro le minacce informatiche sofisticate”, hanno scritto i ricercatori.
Threat Fabric è riuscito a tracciare e analizzare campioni di Chameleon relativi allo Zombinder aggiornato, che utilizza un sofisticato processo di payload in due fasi per eliminare il Trojan. "Utilizzano la SESSION_API tramite PackageInstaller, distribuendo gli esempi Chameleon insieme alla famiglia di malware Hook", si legge nel post.
Threat Fabric ha pubblicato indicatori di compromissione (IoC) nella sua analisi, sotto forma di hash, nomi di app e nomi di pacchetti associati a Chameleon in modo che utenti e amministratori possano monitorare potenziali infezioni da parte del Trojan.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/endpoint-security/chameleon-android-trojan-offers-biometric-bypass
- :ha
- :È
- :non
- 7
- a
- capacità
- accesso
- accessibilità
- Secondo
- Action
- attività
- attività
- attori
- adattare
- amministratori
- vantaggi
- aiutarti
- contro
- consentire
- Consentire
- lungo
- anche
- Sebbene il
- an
- .
- analizzare
- ed
- androide
- in qualsiasi
- api
- App
- apparso
- applicazioni
- approccio
- applicazioni
- SONO
- AS
- valutare
- associato
- At
- attacco
- attacchi
- Australia
- Australiano
- Autenticazione
- precedente
- Settore bancario
- Battaglia
- comportamento
- fra
- biometrico
- Blog
- Rompere
- ma
- by
- aggirare
- Materiale
- capacità
- caratterizzato
- dai un'occhiata
- Chrome
- combattere
- compromesso
- circa
- condizioni
- continua
- continuamente
- cruciale
- Cyber
- Pericoloso
- Scuro
- Web Scuro
- dati
- dicembre
- dimostrare
- dimostrando
- Dipendente
- dipende
- distribuzione
- progettato
- Determinare
- Mercato
- dispositivo
- dispositivi
- DID
- diverso
- visualizzazione
- distinto
- distribuito
- effettua
- Cadere
- dinamico
- dinamicamente
- facile
- in maniera efficace
- in modo efficiente
- sforzi
- ELEVATE
- enable
- abilitato
- miglioramenti
- entrare
- interamente
- Ambiente
- essential
- la valutazione
- Anche
- EVER
- evoluzione
- evolvere
- esempio
- esegue
- ampliato
- esperti
- tessuto
- Facciale
- riconoscimento facciale
- Autunno
- famiglia
- caratteristica
- Caratteristiche
- impronta
- Nome
- Nel
- forza
- modulo
- essere trovato
- da
- funzionalità
- funzionalità
- ulteriormente
- Google Chrome
- guidare
- Manovrabilità
- Avere
- Come
- HTML
- HTTPS
- implementazione
- in
- inclusi
- Compreso
- istituzioni
- ai miglioramenti
- Introduce
- emittente
- IT
- Italia
- SUO
- stessa
- Gennaio
- jpg
- Le
- Tasti
- paesaggio
- con i più recenti
- lanciare
- lancia
- legittimo
- leveraggi
- leveraging
- piace
- linea
- make
- Fare
- maligno
- il malware
- gestito
- Manipolazione
- Manuale
- molti
- analisi
- meccanismi di
- incontro
- metodo
- Mobile
- Servizi bancari per smarthpone
- Monitorare
- Scopri di più
- multiplo
- nomi
- New
- Nuove funzionalità
- adesso
- of
- Offerte
- Office
- on
- in corso
- Operazioni
- opposto
- or
- Altro
- su
- ancora
- pacchetto
- pagina
- pagine
- Password
- Le password
- Cartamodello
- cronologia
- dati personali
- phishing
- pino
- Platone
- Platone Data Intelligence
- PlatoneDati
- Polonia
- Popolare
- Post
- potente
- potenziale
- precedente
- in precedenza
- processi
- istruzioni
- protetta
- protezione
- dimostra
- fornisce
- pubblicato
- gamma
- raggiungere
- riconoscimento
- relazionato
- resti
- ricercatori
- Rispondere
- Rischio
- s
- Suddetto
- scena
- programmazione
- allo
- problemi di
- Misure di sicurezza
- Cercare
- sembrare
- server
- servizio
- impostazioni
- alcuni
- So
- sofisticato
- raffinatezza
- in particolare
- specificato
- diffondere
- spread
- Standard
- Regione / Stato
- Stato dei servizi
- rubare
- negozi
- tale
- Supporto
- sospettoso
- Fai
- acquisizione
- prende
- Target
- mirata
- obiettivi
- Task
- Tassazione
- condizioni
- di
- che
- Il
- Il paesaggio
- Lo Stato
- Regno Unito
- loro
- Li
- poi
- in tal modo
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- Terza
- questo
- minaccia
- attori della minaccia
- minacce
- tre
- Attraverso
- a
- pista
- transizione
- Trojan
- di fiducia
- TURNO
- seconda
- Uk
- sbloccare
- sblocco
- fino a quando
- su
- Utente
- utenti
- usa
- utilizzando
- Variante
- vario
- versione
- Vittima
- vittime
- Prima
- sito web
- WELL
- se
- quale
- più ampia
- volere
- con
- ha scritto
- zefiro
