Новий варіант Android банківський троян з'явилося, що може обійти біометричний захист зламувати пристрої, демонструючи еволюцію зловмисного програмного забезпечення, яке зараз використовують зловмисники проти широкого кола жертв.
Банківський троян Chameleon — названий так за його здатність адаптуватися до середовища за допомогою кількох нових команд — вперше з’явився на сцені у версії «в роботі» в січні, спеціально для користувачів в Австралії та Польщі. Поширюючись через фішингові сторінки, поведінка зловмисного програмного забезпечення тоді характеризувалася здатністю видавати себе за надійні програми, маскуючись під такі установи, як Австралійське податкове управління (ATO) і популярні банківські програми у Польщі для крадіжки даних із пристроїв користувачів.
Тепер дослідники з Threat Fabric помітили нову, більш досконалу версію Chameleon, яка також Користувачі Android у Великій Британії та Італії та поширюється через Dark Web Служба обміну програмами Zombinder замаскований під програму Google Chrome, вони виявили у дописі в блозі, опублікованому 21 грудня.
За словами дослідників, варіант містить кілька нових функцій, які роблять його ще більш небезпечним для користувачів Android, ніж його попереднє втілення, включаючи нову можливість переривати біометричні операції цільового пристрою.
Розблокувавши біометричний доступ (наприклад, розпізнавання обличчя або сканування відбитків пальців), зловмисники можуть отримати доступ до PIN-кодів, паролів або графічних ключів за допомогою функцій клавіатурного журналу, а також розблокувати пристрої за допомогою раніше вкрадених PIN-кодів або паролів. Згідно з аналізом Threat Fabric, «ця функціональність для ефективного обходу біометричних заходів безпеки викликає занепокоєння у сфері мобільного шкідливого програмного забезпечення».
Варіант також має розширену функцію, яка використовує службу доступності Android для атак захоплення пристрою, а також можливість, наявну в багатьох інших троянах, яка дозволяє планувати завдання за допомогою API AlarmManager, виявили дослідники.
«Ці вдосконалення підвищують складність і адаптивність нового варіанту Chameleon, роблячи його більш потужною загрозою в середовищі мобільних банківських троянів, що постійно розвивається», — написали вони.
Хамелеон: біометрична здатність змінювати форму
Загалом, три відмінні нові функції Chameleon демонструють, як суб’єкти загроз реагують на новітні заходи безпеки, спрямовані на боротьбу з їхніми зусиллями, і постійно намагаються їх обійти, повідомляє Threat Fabric.
Ключова нова здатність зловмисного програмного забезпечення вимикати біометричний захист на пристрої вмикається за допомогою команди interrupt_biometric, яка виконує метод InterruptBiometric. Цей метод використовує Android KeyguardManager API та AccessibilityEvent для оцінки екрана пристрою та статусу блокування клавіатури, оцінюючи стан останнього з точки зору різних механізмів блокування, таких як шаблон, PIN-код або пароль.
Після виконання вказаних умов зловмисне програмне забезпечення використовує цю дію для переходу біометрична аутентифікація Дослідники виявили, що для автентифікації PIN-кодом, минаючи біометричний запит і дозволяючи трояну розблокувати пристрій за бажанням.
Це, у свою чергу, надає зловмисникам дві переваги: спрощує викрадення особистих даних, таких як PIN-коди, паролі або графічні ключі, і дозволяє їм входити в біометрично захищені пристрої, використовуючи раніше вкрадені PIN-коди або паролі за допомогою спеціальних можливостей, повідомляє Threat Fabric. .
«Тож, хоча біометричні дані жертви залишаються поза досяжністю для акторів, вони змушують пристрій повернутися до автентифікації за допомогою PIN-коду, таким чином повністю обходячи біометричний захист», — йдеться в повідомленні.
Ще однією ключовою новою функцією є підказка HTML для ввімкнення служби доступності, від якої Chameleon залежить для запуску атаки щоб взяти пристрій. Ця функція включає в себе спеціальну перевірку пристрою, активовану після отримання команди «android_13» від сервера команд і керування (C2), відображення HTML-сторінки, яка пропонує користувачам увімкнути службу доступності, а потім направляє їх через ручний крок - поетапний процес.
Третя функція в новому варіанті представляє можливість, також наявну в багатьох інших банківських троянах, але якої досі не було у Chameleon: планування завдань за допомогою API AlarmManager.
Однак, на відміну від інших проявів цієї функції в банківських троянах, реалізація Chameleon використовує «динамічний підхід, ефективно обробляючи доступність і запуск активності відповідно до стандартної поведінки трояна», згідно з Threat Fabric. Це робиться завдяки підтримці нової команди, яка може визначати, увімкнено доступність чи ні, динамічно перемикаючись між різними шкідливими діями залежно від стану цієї функції на пристрої.
За словами Threat Fabric, «маніпуляції налаштуваннями доступності та динамічними запусками ще більше підкреслюють, що новий Chameleon є складним різновидом шкідливого програмного забезпечення Android».
Пристрої Android під загрозою через зловмисне програмне забезпечення
З нападами проти стрімкого зростання кількості пристроїв Android, для користувачів мобільних пристроїв надзвичайно важливо, ніж будь-коли будьте обережні із завантаженням будь-які програми на своєму пристрої, які здаються підозрілими або не поширюються через законні магазини додатків, радять експерти з безпеки.
«Оскільки суб’єкти загрози продовжують розвиватися, цей динамічний і пильний підхід виявляється важливим у поточній боротьбі зі складними кіберзагрозами», – пишуть дослідники.
Threat Fabric вдалося відстежити та проаналізувати зразки Chameleon, пов’язані з оновленим Zombinder, який використовує складний двоетапний процес корисного навантаження для видалення трояна. «Вони використовують SESSION_API через PackageInstaller, розгортаючи зразки Chameleon разом із сімейством зловмисних програм Hook», – йдеться у дописі.
Threat Fabric опублікував індикатори компрометації (IoC) у своєму аналізі у вигляді хешів, назв додатків і пакетів, пов’язаних із Chameleon, щоб користувачі та адміністратори могли стежити за можливим зараженням трояном.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/endpoint-security/chameleon-android-trojan-offers-biometric-bypass
- : має
- :є
- : ні
- 7
- a
- здатність
- доступ
- доступність
- За
- дію
- діяльності
- діяльність
- актори
- пристосовувати
- Адміністратори
- Переваги
- радити
- проти
- дозволяти
- Дозволити
- по
- Також
- хоча
- an
- аналіз
- аналізувати
- та
- чоловіча
- будь-який
- API
- додаток
- з'явився
- застосування
- підхід
- додатка
- ЕСТЬ
- AS
- оцінити
- асоційований
- At
- атака
- нападки
- Австралія
- Австралійський
- Authentication
- назад
- Banking
- Бій
- поведінка
- між
- біометричні
- Блог
- Перерва
- але
- by
- обходити
- CAN
- можливості
- характеризується
- перевірка
- Chrome
- боротьби з
- компроміс
- щодо
- Умови
- продовжувати
- постійно
- вирішальне значення
- кібер-
- Небезпечний
- темно
- Dark Web
- дані
- грудня
- демонструвати
- демонстрація
- Залежно
- залежить
- розгортання
- призначений
- Визначати
- розробка
- пристрій
- прилади
- DID
- різний
- показ
- чіткий
- розподілений
- робить
- Падіння
- динамічний
- динамічно
- легко
- фактично
- продуктивно
- зусилля
- ПОВЕРНЕНО
- включіть
- включений
- Удосконалення
- Що натомість? Створіть віртуальну версію себе у
- повністю
- Навколишнє середовище
- істотний
- оцінки
- Навіть
- НІКОЛИ
- еволюція
- еволюціонувати
- приклад
- Виконує
- розширений
- experts
- тканину
- лицьової
- розпізнавання осіб
- Падати
- сім'я
- особливість
- риси
- відбиток пальця
- Перший
- для
- Примусово
- форма
- знайдений
- від
- функціональні можливості
- функціональність
- далі
- Google Chrome
- керівництво
- Обробка
- Мати
- Як
- HTML
- HTTPS
- реалізація
- in
- includes
- У тому числі
- індикатори
- установи
- в
- Вводить
- видачі
- IT
- Італія
- ЙОГО
- сам
- січня
- JPG
- ключ
- ключі
- ландшафт
- останній
- запуск
- запуски
- законний
- важелі
- використання
- як
- Лінія
- зробити
- Робить
- malicious
- шкідливих програм
- вдалося
- Маніпуляція
- керівництво
- багато
- заходи
- механізми
- засідання
- метод
- Mobile
- Мобільний банкінг
- монітор
- більше
- множинний
- Імена
- Нові
- Нові можливості
- зараз
- of
- Пропозиції
- Office
- on
- постійний
- операції
- протистояли
- or
- Інше
- з
- над
- пакет
- сторінка
- сторінок
- Пароль
- Паролі
- Викрійки
- персонал
- особисті дані
- phishing
- сосна
- plato
- Інформація про дані Платона
- PlatoData
- Польща
- популярний
- пошта
- сильнодіючий
- потенціал
- попередній
- раніше
- процес
- підказок
- захищений
- захист
- доводить
- забезпечує
- опублікований
- діапазон
- досягати
- визнання
- пов'язаний
- залишається
- Дослідники
- Реагувати
- Risk
- s
- Зазначений
- сцена
- планування
- Екран
- безпеку
- Заходи безпеки
- Шукати
- здається
- сервер
- обслуговування
- налаштування
- кілька
- So
- складний
- витонченість
- конкретно
- зазначений
- поширення
- Спреди
- standard
- стан
- Статус
- вкрали
- магазинів
- такі
- Підтримуючий
- підозрілі
- Приймати
- поглинання
- приймає
- Мета
- цільове
- цілі
- Завдання
- Опoдаткування
- terms
- ніж
- Що
- Команда
- Пейзаж
- Держава
- Великобританія
- їх
- Їх
- потім
- тим самим
- Ці
- вони
- третій
- це
- загроза
- актори загроз
- загрози
- три
- через
- до
- трек
- перехід
- троянець
- Довірений
- ПЕРЕГЛЯД
- два
- Uk
- відімкнути
- розблокування
- до
- на
- користувач
- користувачі
- використовує
- використання
- варіант
- різний
- версія
- Жертва
- жертви
- було
- Web
- ДОБРЕ
- Чи
- який
- ширше
- волі
- з
- пише
- зефірнет