Android 的新变种 银行特洛伊木马 已经出现可以 绕过生物识别安全 侵入设备,展示了攻击者现在针对更广泛的受害者使用的恶意软件的演变。
Chameleon 银行木马(因其能够通过多个新命令适应环境而得名)于 1 月份以“正在进行中”的版本首次出现,专门针对澳大利亚和波兰的用户。该恶意软件通过网络钓鱼页面传播,其行为特征是能够冒充受信任的应用程序,将自己伪装成澳大利亚税务局 (ATO) 和流行的机构等机构。 银行应用 在波兰窃取用户设备的数据。
现在,Threat Fabric 的研究人员发现了 Chameleon 的一个新的、更复杂的版本,它也针对 Android用户 在英国和意大利,并通过暗网传播 Zombinder 应用程序共享服务 伪装成 Google Chrome 应用程序, 他们透露 在 21 月 XNUMX 日发表的博客文章中。
研究人员表示,该变体包含多项新功能,比之前的版本对 Android 用户来说更加危险,其中包括中断目标设备生物识别操作的新功能。
通过解锁生物识别访问(例如面部识别或指纹扫描),攻击者可以通过键盘记录功能访问 PIN、密码或图形密钥,以及使用之前窃取的 PIN 或密码解锁设备。根据 Threat Fabric 的分析,“这种有效绕过生物识别安全措施的功能是移动恶意软件领域的一个令人担忧的发展。”
研究人员发现,该变种还具有扩展功能,可利用 Android 的辅助功能服务进行设备接管攻击,以及许多其他木马中的功能,允许使用 AlarmManager API 进行任务调度。
他们写道:“这些增强功能提高了新 Chameleon 变种的复杂性和适应性,使其成为不断发展的移动银行木马领域中更强大的威胁。”
变色龙:变形的生物识别能力
总体而言,根据 Threat Fabric 的说法,Chameleon 的三个独特的新功能展示了威胁行为者如何响应并不断寻求绕过旨在打击其行为的最新安全措施。
该恶意软件禁用设备上生物识别安全的关键新功能是通过发出命令“interrupt_biometric”来启用的,该命令执行“InterruptBiometric”方法。该方法使用 Android 的 KeyguardManager API 和 AccessibilityEvent 来评估设备屏幕和键盘锁状态,根据各种锁定机制(例如图案、PIN 或密码)评估后者的状态。
满足指定条件后,恶意软件会使用此操作从 生物认证 研究人员发现,通过 PIN 身份验证,绕过生物识别提示,允许木马随意解锁设备。
这反过来又为攻击者提供了两个优势:根据 Threat Fabric 的说法,可以轻松窃取 PIN、密码或图形密钥等个人数据,并允许他们利用以前窃取的 PIN 或密码,利用 Accessibility 进入受生物识别保护的设备。 。
帖子称:“因此,尽管攻击者仍然无法获取受害者的生物识别数据,但他们会迫使设备退回到 PIN 身份验证,从而完全绕过生物识别保护。”
另一个重要的新功能是启用辅助功能服务的 HTML 提示,Chameleon 依靠该提示来发起攻击 接管设备。该功能涉及在从命令和控制 (C13) 服务器收到命令“android_2”后激活设备特定检查,显示 HTML 页面,提示用户启用辅助功能服务,然后指导他们完成手动步骤逐步过程。
新变种中的第三个功能引入了许多其他银行木马中也存在的功能,但到目前为止 Chameleon 还没有:使用 AlarmManager API 进行任务调度。
然而,根据 Threat Fabric 的说法,与银行木马中此功能的其他表现形式不同,Chameleon 的实现采用“动态方法,根据标准木马行为有效处理可访问性和活动启动”。它通过支持一个新命令来实现这一点,该命令可以确定是否启用了可访问性,并根据设备上此功能的状态在不同的恶意活动之间动态切换。
Threat Fabric 表示:“对可访问性设置和动态活动的操纵进一步强调了新的 Chameleon 是一种复杂的 Android 恶意软件菌株。”
Android 设备面临恶意软件风险
随着攻击 对抗Android设备的飙升,对于移动用户来说比以往任何时候都更加重要 下载时要小心 安全专家建议,设备上任何看似可疑或不是通过合法应用商店分发的应用程序。
研究人员写道:“随着威胁行为者的不断发展,这种动态和警惕的方法对于持续对抗复杂的网络威胁至关重要。”
Threat Fabric 设法跟踪和分析与更新的 Zombinder 相关的 Chameleon 样本,该样本使用 用于删除木马的复杂的两阶段有效负载过程。帖子称:“他们通过 PackageInstaller 使用 SESSION_API,部署 Chameleon 样本以及 Hook 恶意软件系列。”
Threat Fabric 在其分析中以哈希值、应用程序名称和与 Chameleon 相关的包名称的形式发布了妥协指标 (IoC),以便用户和管理员可以监控木马的潜在感染情况。
- :具有
- :是
- :不是
- 7
- a
- 对,能力--
- ACCESS
- 访问
- 根据
- 操作
- 活动
- 活动
- 演员
- 适应
- 管理员
- 优点
- 劝
- 驳
- 让
- 允许
- 沿
- 还
- 尽管
- an
- 分析
- 分析
- 和
- 安卓
- 任何
- API
- 应用
- 出现
- 应用领域
- 的途径
- 应用
- 保健
- AS
- 评估
- 相关
- At
- 攻击
- 攻击
- 澳大利亚
- 澳大利亚人
- 认证
- 背部
- 银行业
- 战斗
- 行为
- 之间
- 生物识别
- 博客
- 午休
- 但是
- by
- 绕行
- CAN
- 能力
- 特征
- 查
- 铬系列
- 打击
- 妥协
- 关于
- 条件
- 继续
- 一直
- 关键
- 网络
- 危险的
- 黑暗
- 黑暗的网络
- data
- 十二月
- 演示
- 示范
- 根据
- 依靠
- 部署
- 设计
- 确定
- 研发支持
- 设备
- 设备
- DID
- 不同
- 显示
- 不同
- 分布
- 不
- 下降
- 动态
- 动态
- 易
- 只
- 有效
- 工作的影响。
- ELEVATE
- enable
- 启用
- 增强
- 输入
- 完全
- 环境
- 必要
- 评估
- 甚至
- EVER
- 进化
- 发展
- 例子
- 执行
- 扩大
- 专家
- 布
- 面部
- 面部识别
- 秋季
- 家庭
- 专栏
- 特征
- 指纹
- (名字)
- 针对
- 力
- 申请
- 发现
- 止
- 功能
- 功能
- 进一步
- 谷歌
- Google Chrome
- 指导
- 处理
- 有
- 创新中心
- HTML
- HTTPS
- 履行
- in
- 包括
- 包含
- 指标
- 机构
- 成
- 推出
- 发行
- IT
- 意大利
- 它的
- 本身
- 一月
- JPG
- 键
- 键
- 景观
- 最新
- 发射
- 启动
- 合法
- 杠杆
- 借力
- 喜欢
- Line
- 使
- 制作
- 恶意
- 恶意软件
- 管理
- 操作
- 手册
- 许多
- 措施
- 机制
- 会议
- 方法
- 联络号码
- 手机银行
- 显示器
- 更多
- 多
- 名称
- 全新
- 新功能
- 现在
- of
- 优惠精选
- 办公
- on
- 正在进行
- 运营
- 反对
- or
- 其他名称
- 输出
- 超过
- 包
- 页
- 网页
- 密码
- 密码
- 模式
- 个人
- 个人资料
- 钓鱼
- 射梢类
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 波兰
- 热门
- 帖子
- 有力的
- 潜力
- 以前
- 先前
- 过程
- 提示
- 保护
- 保护
- 证明
- 提供
- 出版
- 范围
- 达到
- 承认
- 有关
- 遗迹
- 研究人员
- 回应
- 风险
- s
- 说
- 现场
- 调度
- 屏风
- 保安
- 保安措施
- 寻找
- 似乎
- 服务器
- 服务
- 设置
- 几个
- So
- 极致
- 极致
- 特别是
- 指定
- 传播
- 价差
- 标准
- 州/领地
- Status
- 被盗
- 商店
- 这样
- 支持
- 可疑
- 采取
- 收购
- 需要
- 目标
- 针对
- 目标
- 任务
- 税收
- 条款
- 比
- 这
- 景观
- 国家
- 英国
- 其
- 他们
- 然后
- 从而
- 博曼
- 他们
- 第三
- Free Introduction
- 威胁
- 威胁者
- 威胁
- 三
- 通过
- 至
- 跟踪时
- 过渡
- 木马
- 信任
- 转
- 二
- Uk
- 开锁
- 解锁
- 直到
- 上
- 用户
- 用户
- 使用
- 运用
- 变种
- 各个
- 版本
- 受害者
- 受害者
- 是
- 卷筒纸
- 井
- 是否
- 这
- 更宽
- 将
- 写
- 和风网
