Trojan Chameleon dla Androida oferuje obejście biometryczne

Nowy wariant Androida trojan bankowy okazało się, że można ominąć zabezpieczenia biometryczne do włamywania się do urządzeń, co pokazuje ewolucję szkodliwego oprogramowania, którym napastnicy posługują się obecnie przeciwko szerszemu gronu ofiar.

Trojan bankowy Chameleon — nazwany tak ze względu na zdolność dostosowywania się do środowiska za pomocą wielu nowych poleceń — po raz pierwszy pojawił się na scenie w wersji „w przygotowaniu” w styczniu, przeznaczonej specjalnie dla użytkowników w Australii i Polsce. Szkodnik rozprzestrzeniający się za pośrednictwem stron phishingowych charakteryzował się możliwością podszywania się pod zaufane aplikacje, podszywając się pod instytucje takie jak Australijski Urząd Podatkowy (ATO) i popularne aplikacje bankowe w Polsce do kradzieży danych z urządzeń użytkowników.

Teraz badacze z Threat Fabric odkryli nową, bardziej wyrafinowaną wersję Chameleona, która również celuje Użytkownicy Androida w Wielkiej Brytanii i we Włoszech i rozprzestrzenia się poprzez ciemną sieć Usługa udostępniania aplikacji Zombinder podszywająca się pod aplikację Google Chrome, ujawnili w poście na blogu opublikowanym 21 grudnia.

Wariant zawiera kilka nowych funkcji, które czynią go jeszcze bardziej niebezpiecznym dla użytkowników Androida niż jego poprzednie wcielenie, w tym nową możliwość zakłócania operacji biometrycznych docelowego urządzenia – twierdzą naukowcy.

Odblokowując dostęp biometryczny (na przykład rozpoznawanie twarzy lub skan odcisków palców), osoby atakujące mogą uzyskać dostęp do kodów PIN, haseł lub kluczy graficznych za pomocą funkcji keyloggera, a także odblokować urządzenia przy użyciu wcześniej skradzionych kodów PIN lub haseł. „Ta funkcja umożliwiająca skuteczne omijanie biometrycznych środków bezpieczeństwa stanowi niepokojący rozwój w środowisku mobilnego szkodliwego oprogramowania” – wynika z analizy Threat Fabric.

Badacze odkryli, że wariant ma również rozszerzoną funkcję, która wykorzystuje usługę dostępności systemu Android do ataków polegających na przejęciu urządzenia, a także funkcję występującą w wielu innych trojanach, umożliwiającą planowanie zadań przy użyciu interfejsu API AlarmManager.

„Te ulepszenia zwiększają wyrafinowanie i możliwości adaptacji nowego wariantu Chameleon, czyniąc go potężniejszym zagrożeniem w stale ewoluującym krajobrazie mobilnych trojanów bankowych” – napisali.

Chameleon: zdolność biometryczna zmieniająca kształt

Według Threat Fabric trzy różne nowe funkcje Chameleona pokazują, w jaki sposób ugrupowania zagrażające reagują na najnowsze środki bezpieczeństwa zaprojektowane w celu zwalczania ich wysiłków i stale starają się je ominąć.

Kluczowa nowa zdolność szkodliwego oprogramowania do wyłączania zabezpieczeń biometrycznych na urządzeniu jest włączana poprzez wydanie polecenia „interrupt_biometric”, które uruchamia metodę „InterruptBiometric”. Metoda wykorzystuje interfejs API KeyguardManager Androida i zdarzenie AccessibilityEvent do oceny stanu ekranu urządzenia i blokady klawiatury, oceniając stan tej ostatniej pod kątem różnych mechanizmów blokujących, takich jak wzór, PIN czy hasło.

Po spełnieniu określonych warunków złośliwe oprogramowanie wykorzystuje tę akcję do przejścia z uwierzytelnianie biometryczne do uwierzytelnienia PIN, omijając monit biometryczny i pozwalając trojanowi na dowolne odblokowanie urządzenia – odkryli badacze.

To z kolei zapewnia atakującym dwie korzyści: ułatwia kradzież danych osobowych, takich jak kody PIN, hasła czy klucze graficzne, oraz umożliwia im wejście do urządzeń chronionych biometrycznie przy użyciu wcześniej skradzionych kodów PIN lub haseł poprzez wykorzystanie dostępności – według Threat Fabric .

„Chociaż dane biometryczne ofiary pozostają poza zasięgiem podmiotów, zmuszają one urządzenie do powrotu do uwierzytelniania za pomocą kodu PIN, całkowicie omijając w ten sposób ochronę biometryczną” – czytamy w poście.

Kolejną kluczową nową funkcją jest monit HTML umożliwiający włączenie usługi dostępności, od której Chameleon zależy do przeprowadzenia ataku przejąć urządzenie. Ta funkcja polega na sprawdzeniu specyficznym dla urządzenia, aktywowanym po otrzymaniu polecenia „android_13” z serwera dowodzenia i kontroli (C2), wyświetlaniu strony HTML z monitem o włączenie usługi dostępności, a następnie przeprowadzaniu ich przez krok ręczny -proces krok po kroku.

Trzecia funkcja w nowym wariancie wprowadza możliwość występującą również w wielu innych trojanach bankowych, której Chameleon dotychczas nie posiadał: planowanie zadań przy użyciu interfejsu API AlarmManager.

Jednak w przeciwieństwie do innych przejawów tej funkcji w trojanach bankowych, implementacja Chameleon opiera się na „dynamicznym podejściu, skutecznie obsługującym dostępność i uruchamianie aktywności zgodnie ze standardowym zachowaniem trojanów” – twierdzi Threat Fabric. Robi to poprzez obsługę nowego polecenia, które może określić, czy dostępność jest włączona, czy nie, dynamicznie przełączając się między różnymi złośliwymi działaniami w zależności od stanu tej funkcji na urządzeniu.

„Manipulacje ustawieniami dostępności i dynamiczną aktywnością jeszcze bardziej podkreślają, że nowy Chameleon to wyrafinowana odmiana złośliwego oprogramowania dla Androida” – twierdzi Threat Fabric.

Urządzenia z Androidem zagrożone złośliwym oprogramowaniem

Z atakami w stosunku do urządzeń z systemem Android gwałtownie rośniejest to ważniejsze niż kiedykolwiek dla użytkowników mobilnych uważaj na pobieranie wszelkie aplikacje na ich urządzeniu, które wydają się podejrzane lub nie są dystrybuowane w legalnych sklepach z aplikacjami – radzą eksperci ds. bezpieczeństwa.

„W miarę ewolucji podmiotów zagrażających to dynamiczne i czujne podejście okazuje się niezbędne w toczącej się walce z wyrafinowanymi cyberzagrożeniami” – napisali badacze.

Threat Fabric udało się śledzić i analizować próbki Chameleona powiązane ze zaktualizowanym Zombinderem, który wykorzystuje wyrafinowany dwuetapowy proces ładowania, mający na celu usunięcie trojana. „Wykorzystują interfejs SESSION_API za pośrednictwem PackageInstaller, wdrażając próbki Chameleon wraz z rodziną złośliwego oprogramowania Hook” – czytamy w poście.

W ramach swojej analizy firma Threat Fabric opublikowała wskaźniki zagrożenia (IoC) w postaci skrótów, nazw aplikacji i pakietów powiązanych z Chameleonem, dzięki czemu użytkownicy i administratorzy mogą monitorować potencjalną infekcję trojanem.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/endpoint-security/chameleon-android-trojan-offers-biometric-bypass