Một biến thể mới của Android Trojan ngân hàng đã xuất hiện có thể bỏ qua bảo mật sinh trắc học để đột nhập vào các thiết bị, thể hiện sự tiến hóa trong phần mềm độc hại mà những kẻ tấn công hiện đang sử dụng để chống lại nhiều nạn nhân hơn.
Trojan ngân hàng Chameleon – được đặt tên như vậy vì khả năng thích ứng với môi trường thông qua nhiều lệnh mới – lần đầu tiên xuất hiện trong một phiên bản “đang tiến hành” vào tháng 1, đặc biệt nhắm mục tiêu đến người dùng ở Úc và Ba Lan. Lây lan qua các trang lừa đảo, hành vi của phần mềm độc hại sau đó được đặc trưng bởi khả năng mạo danh các ứng dụng đáng tin cậy, ngụy trang thành các tổ chức như Văn phòng Thuế Úc (ATO) và các tổ chức phổ biến. ứng dụng ngân hàng ở Ba Lan để đánh cắp dữ liệu từ thiết bị của người dùng.
Giờ đây, các nhà nghiên cứu tại Threat Fabric đã phát hiện ra một phiên bản Chameleon mới, phức tạp hơn cũng nhắm mục tiêu Người dùng Android ở Anh và Ý, và lan truyền qua Dark Web Dịch vụ chia sẻ ứng dụng Zombinder cải trang dưới dạng ứng dụng Google Chrome, họ đã tiết lộ trong một bài đăng trên blog được xuất bản ngày 21 tháng XNUMX.
Các nhà nghiên cứu cho biết biến thể này bao gồm một số tính năng mới khiến người dùng Android trở nên nguy hiểm hơn so với phiên bản trước đó, bao gồm khả năng mới làm gián đoạn hoạt động sinh trắc học của thiết bị được nhắm mục tiêu.
Bằng cách mở khóa quyền truy cập sinh trắc học (ví dụ: nhận dạng khuôn mặt hoặc quét dấu vân tay), kẻ tấn công có thể truy cập mã PIN, mật khẩu hoặc khóa đồ họa thông qua chức năng keylogging, cũng như mở khóa thiết bị bằng mã PIN hoặc mật khẩu bị đánh cắp trước đó. Theo phân tích của Threat Fabric, chức năng này giúp vượt qua các biện pháp bảo mật sinh trắc học một cách hiệu quả là một sự phát triển đáng lo ngại trong bối cảnh phần mềm độc hại trên thiết bị di động.
Các nhà nghiên cứu nhận thấy biến thể này cũng có một tính năng mở rộng tận dụng dịch vụ Trợ năng của Android để thực hiện các cuộc tấn công chiếm đoạt thiết bị, cũng như khả năng có trong nhiều trojan khác để cho phép lập lịch tác vụ bằng API AlarmManager.
Họ viết: “Những cải tiến này nâng cao tính phức tạp và khả năng thích ứng của biến thể Chameleon mới, khiến nó trở thành mối đe dọa tiềm tàng hơn trong bối cảnh ngày càng phát triển của trojan ngân hàng di động”.
Tắc kè hoa: Khả năng sinh trắc học có thể thay đổi hình dạng
Nhìn chung, ba tính năng mới khác biệt của Chameleon thể hiện cách các tác nhân đe dọa phản ứng và liên tục tìm cách vượt qua các biện pháp bảo mật mới nhất được thiết kế để chống lại nỗ lực của chúng, theo Threat Fabric.
Khả năng mới quan trọng của phần mềm độc hại nhằm vô hiệu hóa bảo mật sinh trắc học trên thiết bị được kích hoạt bằng cách đưa ra lệnh “interrupt_biometric”, lệnh này thực thi phương thức “InterruptBiometric”. Phương pháp này sử dụng API KeyguardManager và AccessibilityEvent của Android để đánh giá màn hình thiết bị và trạng thái bảo vệ bàn phím, đánh giá trạng thái của thiết bị sau này theo các cơ chế khóa khác nhau, chẳng hạn như hình mở khóa, mã PIN hoặc mật khẩu.
Khi đáp ứng các điều kiện đã chỉ định, phần mềm độc hại sẽ sử dụng hành động này để chuyển từ xác thực sinh trắc học Các nhà nghiên cứu nhận thấy xác thực mã PIN, bỏ qua lời nhắc sinh trắc học và cho phép Trojan mở khóa thiết bị theo ý muốn.
Ngược lại, điều này mang lại cho kẻ tấn công hai lợi thế: giúp dễ dàng đánh cắp dữ liệu cá nhân như mã PIN, mật khẩu hoặc khóa đồ họa và cho phép chúng truy cập vào các thiết bị được bảo vệ sinh trắc học bằng mã PIN hoặc mật khẩu bị đánh cắp trước đó bằng cách tận dụng Trợ năng, theo Threat Fabric. .
Theo bài đăng: “Vì vậy, mặc dù dữ liệu sinh trắc học của nạn nhân vẫn nằm ngoài tầm với của kẻ tấn công, nhưng chúng buộc thiết bị phải quay lại xác thực mã PIN, do đó bỏ qua hoàn toàn việc bảo vệ sinh trắc học”.
Một tính năng mới quan trọng khác là lời nhắc HTML để kích hoạt dịch vụ Trợ năng, mà Chameleon dựa vào đó để khởi động một cuộc tấn công. để tiếp quản thiết bị. Tính năng này bao gồm quá trình kiểm tra dành riêng cho thiết bị được kích hoạt khi nhận được lệnh “android_13” từ máy chủ ra lệnh và kiểm soát (C2), hiển thị trang HTML nhắc người dùng bật dịch vụ Trợ năng, sau đó hướng dẫn họ thực hiện bước thủ công. -quy trình từng bước.
Tính năng thứ ba trong biến thể mới giới thiệu một khả năng cũng có trong nhiều Trojan ngân hàng khác, nhưng cho đến nay Chameleon vẫn chưa có: lập lịch tác vụ bằng API AlarmManager.
Tuy nhiên, trái ngược với các biểu hiện khác của tính năng này trong các Trojan ngân hàng, việc triển khai của Chameleon có “cách tiếp cận năng động, xử lý hiệu quả khả năng truy cập và khởi chạy hoạt động phù hợp với hành vi trojan tiêu chuẩn”, theo Threat Fabric. Nó thực hiện điều này bằng cách hỗ trợ một lệnh mới có thể xác định xem khả năng truy cập có được bật hay không, tự động chuyển đổi giữa các hoạt động độc hại khác nhau tùy thuộc vào trạng thái của tính năng này trên thiết bị.
Theo Threat Fabric, “Việc thao túng cài đặt khả năng truy cập và hoạt động động càng nhấn mạnh thêm rằng Chameleon mới là một loại phần mềm độc hại Android tinh vi”.
Thiết bị Android có nguy cơ bị nhiễm phần mềm độc hại
Với các cuộc tấn công chống lại các thiết bị Android tăng vọt, điều quan trọng hơn bao giờ hết đối với người dùng di động là hãy cảnh giác khi tải xuống Các chuyên gia bảo mật khuyên rằng bất kỳ ứng dụng nào trên thiết bị của họ có vẻ đáng ngờ hoặc không được phân phối thông qua các cửa hàng ứng dụng hợp pháp.
Các nhà nghiên cứu viết: “Khi các tác nhân đe dọa tiếp tục phát triển, cách tiếp cận năng động và thận trọng này chứng tỏ sự cần thiết trong cuộc chiến đang diễn ra chống lại các mối đe dọa mạng tinh vi”.
Threat Fabric đã quản lý để theo dõi và phân tích các mẫu của Chameleon liên quan đến Zombinder được cập nhật, sử dụng một quy trình tải trọng gồm hai giai đoạn phức tạp để loại bỏ Trojan. Theo bài đăng, “Họ sử dụng SESSION_API thông qua PackageInstaller, triển khai các mẫu Chameleon cùng với dòng phần mềm độc hại Hook”.
Threat Fabric đã công bố các chỉ số về sự xâm phạm (IoC) trong phân tích của mình, dưới dạng hàm băm, tên ứng dụng và tên gói được liên kết với Chameleon để người dùng và quản trị viên có thể theo dõi khả năng lây nhiễm của Trojan.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/endpoint-security/chameleon-android-trojan-offers-biometric-bypass
- : có
- :là
- :không phải
- 7
- a
- có khả năng
- truy cập
- khả năng tiếp cận
- Theo
- Hoạt động
- hoạt động
- hoạt động
- diễn viên
- thích ứng
- quản trị
- lợi thế
- tư vấn cho
- chống lại
- cho phép
- Cho phép
- dọc theo
- Ngoài ra
- Mặc dù
- an
- phân tích
- phân tích
- và
- Android
- bất kì
- api
- ứng dụng
- Xuất hiện
- các ứng dụng
- phương pháp tiếp cận
- ứng dụng
- LÀ
- AS
- đánh giá
- liên kết
- At
- tấn công
- Các cuộc tấn công
- Châu Úc
- Úc
- Xác thực
- trở lại
- Ngân hàng
- trận đánh
- hành vi
- giữa
- biometric
- Blog
- Nghỉ giải lao
- nhưng
- by
- bỏ qua
- CAN
- khả năng
- đặc trưng
- kiểm tra
- cơ rôm
- chống lại
- thỏa hiệp
- liên quan đến
- điều kiện
- tiếp tục
- liên tục
- quan trọng
- không gian mạng
- Nguy hiểm
- tối
- Web tối
- dữ liệu
- Tháng mười hai
- chứng minh
- thể hiện
- Tùy
- phụ thuộc
- triển khai
- thiết kế
- Xác định
- Phát triển
- thiết bị
- Thiết bị (Devices)
- ĐÃ LÀM
- khác nhau
- hiển thị
- khác biệt
- phân phối
- làm
- Rơi
- năng động
- năng động
- dễ dàng
- hiệu quả
- hiệu quả
- những nỗ lực
- NÂNG
- cho phép
- kích hoạt
- cải tiến
- đăng ký hạng mục thi
- hoàn toàn
- Môi trường
- thiết yếu
- đánh giá
- Ngay cả
- BAO GIỜ
- sự tiến hóa
- phát triển
- ví dụ
- Thi công
- mở rộng
- các chuyên gia
- vải
- mặt
- nhận dạng khuôn mặt
- Rơi
- gia đình
- Đặc tính
- Tính năng
- dấu vân tay
- Tên
- Trong
- Buộc
- hình thức
- tìm thấy
- từ
- chức năng
- chức năng
- xa hơn
- Google Chrome
- hướng dẫn
- Xử lý
- Có
- Độ đáng tin của
- HTML
- HTTPS
- thực hiện
- in
- bao gồm
- Bao gồm
- Các chỉ số
- tổ chức
- trong
- Giới thiệu
- ban hành
- IT
- Italy
- ITS
- chính nó
- Tháng một
- jpg
- Key
- phím
- cảnh quan
- mới nhất
- phóng
- ra mắt
- hợp pháp
- đòn bẩy
- tận dụng
- Lượt thích
- Dòng
- làm cho
- Làm
- độc hại
- phần mềm độc hại
- quản lý
- Thao tác
- nhãn hiệu
- nhiều
- các biện pháp
- cơ chế
- cuộc họp
- phương pháp
- di động
- Ngân hàng di động
- Màn Hình
- chi tiết
- nhiều
- tên
- Mới
- Các tính năng mới
- tại
- of
- Cung cấp
- Office
- on
- đang diễn ra
- Hoạt động
- phản đối
- or
- Nền tảng khác
- ra
- kết thúc
- gói
- trang
- trang
- Mật khẩu
- Mật khẩu
- Họa tiết
- riêng
- dữ liệu cá nhân
- Lừa đảo
- chân
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- Ba Lan
- Phổ biến
- Bài đăng
- mạnh
- tiềm năng
- trước
- trước đây
- quá trình
- nhắc nhở
- bảo vệ
- bảo vệ
- chứng minh
- cung cấp
- công bố
- phạm vi
- đạt
- công nhận
- liên quan
- vẫn còn
- nhà nghiên cứu
- Trả lời
- Nguy cơ
- s
- Nói
- bối cảnh
- lập kế hoạch
- Màn
- an ninh
- Các biện pháp an ninh
- Tìm kiếm
- hình như
- máy chủ
- dịch vụ
- thiết lập
- một số
- So
- tinh vi
- sự tinh tế
- đặc biệt
- quy định
- lan tràn
- Lây lan
- Tiêu chuẩn
- Tiểu bang
- Trạng thái
- ăn cắp
- cửa hàng
- như vậy
- Hỗ trợ
- đáng ngờ
- Hãy
- tiếp quản
- mất
- Mục tiêu
- nhắm mục tiêu
- mục tiêu
- Nhiệm vụ
- thuế
- về
- hơn
- việc này
- Sản phẩm
- Phong cảnh
- Nhà nước
- Anh
- cung cấp their dịch
- Them
- sau đó
- bằng cách ấy
- Kia là
- họ
- Thứ ba
- điều này
- mối đe dọa
- diễn viên đe dọa
- các mối đe dọa
- số ba
- Thông qua
- đến
- theo dõi
- quá trình chuyển đổi
- Trojan
- đáng tin cậy
- XOAY
- hai
- Uk
- mở khóa
- mở khóa
- cho đến khi
- trên
- người sử dang
- Người sử dụng
- sử dụng
- sử dụng
- biến thể
- khác nhau
- phiên bản
- nạn nhân
- nạn nhân
- là
- web
- TỐT
- liệu
- cái nào
- rộng hơn
- sẽ
- với
- đã viết
- zephyrnet
