Троян Chameleon Android пропонує біометричний обхід

Новий варіант Android банківський троян з'явилося, що може обійти біометричний захист зламувати пристрої, демонструючи еволюцію зловмисного програмного забезпечення, яке зараз використовують зловмисники проти широкого кола жертв.

Банківський троян Chameleon — названий так за його здатність адаптуватися до середовища за допомогою кількох нових команд — вперше з’явився на сцені у версії «в роботі» в січні, спеціально для користувачів в Австралії та Польщі. Поширюючись через фішингові сторінки, поведінка зловмисного програмного забезпечення тоді характеризувалася здатністю видавати себе за надійні програми, маскуючись під такі установи, як Австралійське податкове управління (ATO) і популярні банківські програми у Польщі для крадіжки даних із пристроїв користувачів.

Тепер дослідники з Threat Fabric помітили нову, більш досконалу версію Chameleon, яка також Користувачі Android у Великій Британії та Італії та поширюється через Dark Web Служба обміну програмами Zombinder замаскований під програму Google Chrome, вони виявили у дописі в блозі, опублікованому 21 грудня.

За словами дослідників, варіант містить кілька нових функцій, які роблять його ще більш небезпечним для користувачів Android, ніж його попереднє втілення, включаючи нову можливість переривати біометричні операції цільового пристрою.

Розблокувавши біометричний доступ (наприклад, розпізнавання обличчя або сканування відбитків пальців), зловмисники можуть отримати доступ до PIN-кодів, паролів або графічних ключів за допомогою функцій клавіатурного журналу, а також розблокувати пристрої за допомогою раніше вкрадених PIN-кодів або паролів. Згідно з аналізом Threat Fabric, «ця функціональність для ефективного обходу біометричних заходів безпеки викликає занепокоєння у сфері мобільного шкідливого програмного забезпечення».

Варіант також має розширену функцію, яка використовує службу доступності Android для атак захоплення пристрою, а також можливість, наявну в багатьох інших троянах, яка дозволяє планувати завдання за допомогою API AlarmManager, виявили дослідники.

«Ці вдосконалення підвищують складність і адаптивність нового варіанту Chameleon, роблячи його більш потужною загрозою в середовищі мобільних банківських троянів, що постійно розвивається», — написали вони.

Хамелеон: біометрична здатність змінювати форму

Загалом, три відмінні нові функції Chameleon демонструють, як суб’єкти загроз реагують на новітні заходи безпеки, спрямовані на боротьбу з їхніми зусиллями, і постійно намагаються їх обійти, повідомляє Threat Fabric.

Ключова нова здатність зловмисного програмного забезпечення вимикати біометричний захист на пристрої вмикається за допомогою команди interrupt_biometric, яка виконує метод InterruptBiometric. Цей метод використовує Android KeyguardManager API та AccessibilityEvent для оцінки екрана пристрою та статусу блокування клавіатури, оцінюючи стан останнього з точки зору різних механізмів блокування, таких як шаблон, PIN-код або пароль.

Після виконання вказаних умов зловмисне програмне забезпечення використовує цю дію для переходу біометрична аутентифікація Дослідники виявили, що для автентифікації PIN-кодом, минаючи біометричний запит і дозволяючи трояну розблокувати пристрій за бажанням.

Це, у свою чергу, надає зловмисникам дві переваги: ​​спрощує викрадення особистих даних, таких як PIN-коди, паролі або графічні ключі, і дозволяє їм входити в біометрично захищені пристрої, використовуючи раніше вкрадені PIN-коди або паролі за допомогою спеціальних можливостей, повідомляє Threat Fabric. .

«Тож, хоча біометричні дані жертви залишаються поза досяжністю для акторів, вони змушують пристрій повернутися до автентифікації за допомогою PIN-коду, таким чином повністю обходячи біометричний захист», — йдеться в повідомленні.

Ще однією ключовою новою функцією є підказка HTML для ввімкнення служби доступності, від якої Chameleon залежить для запуску атаки щоб взяти пристрій. Ця функція включає в себе спеціальну перевірку пристрою, активовану після отримання команди «android_13» від сервера команд і керування (C2), відображення HTML-сторінки, яка пропонує користувачам увімкнути службу доступності, а потім направляє їх через ручний крок - поетапний процес.

Третя функція в новому варіанті представляє можливість, також наявну в багатьох інших банківських троянах, але якої досі не було у Chameleon: планування завдань за допомогою API AlarmManager.

Однак, на відміну від інших проявів цієї функції в банківських троянах, реалізація Chameleon використовує «динамічний підхід, ефективно обробляючи доступність і запуск активності відповідно до стандартної поведінки трояна», згідно з Threat Fabric. Це робиться завдяки підтримці нової команди, яка може визначати, увімкнено доступність чи ні, динамічно перемикаючись між різними шкідливими діями залежно від стану цієї функції на пристрої.

За словами Threat Fabric, «маніпуляції налаштуваннями доступності та динамічними запусками ще більше підкреслюють, що новий Chameleon є складним різновидом шкідливого програмного забезпечення Android».

Пристрої Android під загрозою через зловмисне програмне забезпечення

З нападами проти стрімкого зростання кількості пристроїв Android, для користувачів мобільних пристроїв надзвичайно важливо, ніж будь-коли будьте обережні із завантаженням будь-які програми на своєму пристрої, які здаються підозрілими або не поширюються через законні магазини додатків, радять експерти з безпеки.

«Оскільки суб’єкти загрози продовжують розвиватися, цей динамічний і пильний підхід виявляється важливим у поточній боротьбі зі складними кіберзагрозами», – пишуть дослідники.

Threat Fabric вдалося відстежити та проаналізувати зразки Chameleon, пов’язані з оновленим Zombinder, який використовує складний двоетапний процес корисного навантаження для видалення трояна. «Вони використовують SESSION_API через PackageInstaller, розгортаючи зразки Chameleon разом із сімейством зловмисних програм Hook», – йдеться у дописі.

Threat Fabric опублікував індикатори компрометації (IoC) у своєму аналізі у вигляді хешів, назв додатків і пакетів, пов’язаних із Chameleon, щоб користувачі та адміністратори могли стежити за можливим зараженням трояном.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/endpoint-security/chameleon-android-trojan-offers-biometric-bypass