Chameleon Android Troian oferă bypass biometric

O nouă variantă a unui Android troian bancar a apărut că poate ocoliți securitatea biometrică să pătrundă în dispozitive, demonstrând o evoluție a malware-ului pe care atacatorii îl folosesc acum împotriva unei game mai largi de victime.

Troianul bancar Chameleon – numit așa pentru capacitatea sa de a se adapta la mediul său prin multiple comenzi noi – a apărut pentru prima dată pe scenă într-o versiune „în desfășurare” în ianuarie, în special pentru utilizatorii din Australia și Polonia. Răspândit prin paginile de phishing, comportamentul malware-ului a fost apoi caracterizat de capacitatea de a uzurpa identitatea aplicațiilor de încredere, deghându-se în instituții precum Australian Taxation Office (ATO) și populare. aplicații bancare în Polonia pentru a fura date de pe dispozitivele utilizatorilor.

Acum, cercetătorii de la Threat Fabric au descoperit o versiune nouă, mai sofisticată de Chameleon, care vizează și Utilizatorii Android în Marea Britanie și Italia și se răspândește printr-un Dark Web Serviciu de partajare a aplicațiilor Zombinder deghizat în aplicație Google Chrome, au dezvăluit într-o postare pe blog publicată pe 21 decembrie.

Varianta include câteva caracteristici noi care o fac și mai periculoasă pentru utilizatorii de Android decât încarnarea sa anterioară, inclusiv o nouă capacitate de a întrerupe operațiunile biometrice ale dispozitivului vizat, au spus cercetătorii.

Prin deblocarea accesului biometric (recunoașterea facială sau scanarea amprentelor digitale, de exemplu), atacatorii pot accesa PIN-uri, parole sau chei grafice prin funcționalități de înregistrare a tastelor, precum și debloca dispozitive folosind PIN-uri sau parole furate anterior. „Această funcționalitate pentru a ocoli efectiv măsurile de securitate biometrică este o dezvoltare îngrijorătoare în peisajul malware-ului mobil”, potrivit analizei Threat Fabric.

Varianta are, de asemenea, o caracteristică extinsă care folosește serviciul de accesibilitate al Android pentru atacurile de preluare a dispozitivelor, precum și o capacitate găsită în mulți alți troieni de a permite programarea sarcinilor folosind API-ul AlarmManager, au descoperit cercetătorii.

„Aceste îmbunătățiri ridică sofisticarea și adaptabilitatea noii variante Chameleon, făcând-o o amenințare mai puternică în peisajul în continuă evoluție al troienilor de servicii bancare mobile”, au scris ei.

Cameleon: O capacitate biometrică de schimbare a formei

În general, cele trei noi caracteristici distincte ale Chameleon demonstrează modul în care actorii amenințărilor răspund și caută în mod continuu să ocolească cele mai recente măsuri de securitate concepute pentru a-și combate eforturile, potrivit Threat Fabric.

Noua capacitate cheie a malware-ului de a dezactiva securitatea biometrică pe dispozitiv este activată prin lansarea comenzii „interrupt_biometric”, care execută metoda „InterruptBiometric”. Metoda folosește API-ul KeyguardManager și AccessibilityEvent de la Android pentru a evalua ecranul dispozitivului și starea blocării tastaturii, evaluând starea acestuia din urmă în ceea ce privește diferitele mecanisme de blocare, cum ar fi modelul, PIN-ul sau parola.

La îndeplinirea condițiilor specificate, malware-ul folosește această acțiune pentru a trece de la autentificare biometrică la autentificarea PIN, ocolind promptul biometric și permițând troianului să deblocheze dispozitivul după bunul plac, au descoperit cercetătorii.

Acest lucru, la rândul său, oferă atacatorilor două avantaje: facilitează furtul datelor personale, cum ar fi codurile PIN, parolele sau cheile grafice, și le permite să introducă dispozitive protejate biometric folosind coduri PIN sau parole furate anterior prin valorificarea accesibilității, conform Threat Fabric. .

„Deci, deși datele biometrice ale victimei rămân la îndemâna actorilor, ele forțează dispozitivul să se întoarcă la autentificarea PIN, ocolind astfel protecția biometrică”, potrivit postării.

O altă caracteristică cheie nouă este o solicitare HTML pentru a activa serviciul de accesibilitate, de care depinde Chameleon pentru a lansa un atac. pentru a prelua aparatul. Caracteristica implică o verificare specifică dispozitivului, activată la primirea comenzii „android_13” de la serverul de comandă și control (C2), afișând o pagină HTML care solicită utilizatorilor să activeze serviciul de accesibilitate și apoi ghidându-i printr-un pas manual. -proces cu pas.

O a treia caracteristică a noii variante introduce o capacitate întâlnită și în multe alte troiene bancare, dar pe care până acum Chameleon nu o avea: programarea sarcinilor folosind API-ul AlarmManager.

Cu toate acestea, spre deosebire de alte manifestări ale acestei caracteristici în troienii bancare, implementarea lui Chameleon are o „abordare dinamică, gestionând eficient accesibilitatea și lansările de activități în conformitate cu comportamentul troienilor standard”, potrivit Threat Fabric. Face acest lucru prin sprijinirea unei noi comenzi care poate determina dacă accesibilitatea este activată sau nu, comutând dinamic între diferite activități rău intenționate în funcție de starea acestei caracteristici pe dispozitiv.

„Manipularea setărilor de accesibilitate și lansarea activității dinamice subliniază și mai mult faptul că noul Chameleon este o tulpină sofisticată de malware Android”, potrivit Threat Fabric.

Dispozitive Android expuse riscului de malware

Cu atacuri împotriva creșterii în creștere a dispozitivelor Android, este mai important ca niciodată pentru utilizatorii de telefonie mobilă ai grijă de descărcare orice aplicații de pe dispozitivul lor care par suspecte sau care nu sunt distribuite prin magazine de aplicații legitime, recomandă experții în securitate.

„Pe măsură ce actorii amenințărilor continuă să evolueze, această abordare dinamică și vigilentă se dovedește esențială în lupta continuă împotriva amenințărilor cibernetice sofisticate”, au scris cercetătorii.

Threat Fabric a reușit să urmărească și să analizeze mostre de Chameleon legate de Zombinder actualizat, care utilizează un proces sofisticat de încărcare utilă în două etape pentru a elimina troianul. „Ei folosesc SESSION_API prin PackageInstaller, implementând mostrele Chameleon împreună cu familia de malware Hook”, potrivit postării.

Threat Fabric a publicat indicatori de compromis (IoC) în analiza sa, sub formă de hashuri, nume de aplicații și nume de pachete asociate cu Chameleon, astfel încât utilizatorii și administratorii să poată monitoriza eventualele infecții cu troianul.

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.darkreading.com/endpoint-security/chameleon-android-trojan-offers-biometric-bypass