Το «Chameleon Android banking trojan» είναι ένα κακόβουλο λογισμικό, με κύριο σκοπό την κλοπή προσωπικών δεδομένων. Ο ιός επανεμφανίστηκε με μια νέα έκδοση που χρησιμοποιεί μια δύσκολη τεχνική για την ανάληψη συσκευών. Απενεργοποιεί πλήρως το δακτυλικό αποτύπωμα και το ξεκλείδωμα προσώπου για να κλέψει στη συνεχεία τα PIN και τους αποθηκευμένους κωδικούς της συσκευής.
Αυτό το κάνει χρησιμοποιώντας ένα τέχνασμα με σελίδες HTML για να αποκτήσει πρόσβαση στην υπηρεσία Προσβασιμότητας του κινητού. Επίσης χρησιμοποιεί και μια μέθοδο διακοπής βιομετρικών λειτουργιών για την κλοπή PIN, ώστε να έχει την ελευθερία να ξεκλειδώνει τη συσκευή κατά βούληση.
Προηγούμενες εκδόσεις του Chameleon που εντοπίστηκαν τον Απρίλιο αυτού του έτους, υποδύονταν τις αυστραλιανές κυβερνητικές υπηρεσίες, τις τράπεζες και το ανταλλακτήριο κρυπτονομισμάτων CoinSpot, εκτελώντας καταγραφή πληκτρολογίου, κλοπή cookies και κλοπή SMS μηνυμάτων στις παραβιασμένες συσκευές.
Οι ερευνητές στο ThreatFabric που παρακολουθούσαν το κακόβουλο λογισμικό, αναφέρουν ότι αυτή τη στιγμή διανέμεται μέσω της υπηρεσίας Zombinder, παριστάνοντας το Google Chrome.
Το Zombinder “κολλάει” κακόβουλο λογισμικό σε νόμιμες εφαρμογές Android, ώστε τα θύματα να μπορούν να απολαμβάνουν την πλήρη λειτουργικότητα της εφαρμογής που σκόπευαν να εγκαταστήσουν, καθιστώντας λιγότερο πιθανό να υποψιαστούν ότι εκτελείται επικίνδυνος κώδικας στο παρασκήνιο.
Η πλατφόρμα ισχυρίζεται ότι τα κακόβουλα λογισμικά παρακάμπτουν τις ειδοποιήσεις του Google Protect και αποφεύγουν τυχόν προϊόντα προστασίας, καθιστώντας την ανίχνευση τους αρκετά δύσκολη.
Ο εξελιγμένος ιός και τα χαρακτηριστικά του
Η πρώτη νέα δυνατότητα που εμφανίζεται στην τελευταία παραλλαγή Chameleon είναι η δυνατότητα εμφάνισης μιας σελίδας HTML σε συσκευές με Android 13 και σε νεότερες εκδόσεις, προτρέποντας τα θύματα να δώσουν στην εφαρμογή άδεια να χρησιμοποιήσει την υπηρεσία προσβασιμότητας.
Το Android 13 και οι νεότερες εκδόσεις προστατεύονται από μια λειτουργία ασφαλείας που ονομάζεται “Περιορισμένη ρύθμιση”, η οποία αποκλείει την έγκριση επικίνδυνων αδειών όπως η προσβασιμότητα.
Το κακόβουλο λογισμικό μπορεί να αξιοποιήσει για να κλέψει περιεχόμενο στην οθόνη, να δώσει στον εαυτό του πρόσθετα δικαιώματα και να εκτελέσει κινήσεις αυτόνομης πλοήγησης.
Όταν ο Chameleon εντοπίζει Android 13 ή 14 κατά την εκκίνηση, φορτώνει μια σελίδα HTML που καθοδηγεί τον χρήστη μέσω μιας μη αυτόματης διαδικασίας για να ενεργοποιήσει την προσβασιμότητα της συσκευής, παρακάμπτοντας την προστασία του συστήματος.
Το δεύτερο αξιοσημείωτο νέο χαρακτηριστικό είναι η δυνατότητα διακοπής βιομετρικών λειτουργιών στη συσκευή, όπως το δακτυλικό αποτύπωμα και το ξεκλείδωμα με το πρόσωπο, χρησιμοποιώντας την υπηρεσία προσβασιμότητας για να εξαναγκάσει την επαναφορά στον έλεγχο ταυτότητας με κωδικό PIN ή κωδικό πρόσβασης.
Το κακόβουλο λογισμικό καταγράφει το PIN και τους κωδικούς πρόσβασης που εισάγει το θύμα για να ξεκλειδώσει τη συσκευή του και μπορεί αργότερα να τα χρησιμοποιήσει, για να ξεκλειδώσει τη συσκευή κατά βούληση και να εκτελέσει κακόβουλες δραστηριότητες που δεν μπορούν να φανούν στο χρήστη.
Τέλος, το ThreatFabric αναφέρει ότι ο Chameleon έχει προσθέσει τον προγραμματισμό εργασιών του μέσω του AlarmManager API για τη διαχείριση των περιόδων δραστηριότητας και τον καθορισμό του τύπου δραστηριότητας.
Ανάλογα με το εάν η προσβασιμότητα της συσκευής είναι ενεργοποιημένη ή απενεργοποιημένη, το κακόβουλο λογισμικό προσαρμόζεται στην εκτόξευση επιθέσεων ή στη συλλογή δεδομένων όταν η συσκευή χρησιμοποιείται για να αποφασίσει την καλύτερη στιγμή για την εισβολή του.
Πώς να προστατευτείτε από το κακόβουλο λογισμικό
Για να κρατήσετε μακριά την απειλή του Chameleon, αποφύγετε τα αρχεία πακέτων Android από ανεπίσημες πηγές, καθώς αυτή είναι η κύρια μέθοδος διανομής για την υπηρεσία Zombinder.
Επιπλέον, βεβαιωθείτε ότι το Play Protect είναι ανά πάσα στιγμή ενεργοποιημένο και κάντε τακτικές σαρώσεις ιών για να βεβαιωθείτε ότι η συσκευή σας είναι καθαρή από κακόβουλο λογισμικό και λογισμικό διαφημίσεων.