- بدافزار Chameleon Android میتواند امنیت بیومتریک را دور بزند.
شرکت تشخیص کلاهبرداری آنلاین ThreatFabric گزارش میدهد که نوع جدیدی از تروجان بانکی Chameleon Android دارای قابلیتهای بایپسbypass جدید است و منطقه هدف خود را گسترش داده است.
این بدافزار که از اوایل سال 2023 فعال بود، ابتدا برنامههای بانکداری تلفن همراه را در استرالیا و لهستان هدف قرار داد. سپس به بریتانیا و ایتالیا نیز دسترسی پیدا کرد.
چگونگی عملکرد بدافزار Chameleon Android
ThreatFabric اظهار داشت: زمانی که این بدافزار کشف شد، Chameleon از چندین لاگر استفاده میکرد. همچنین عملکرد مخرب محدودی داشت و حاوی دستورات مختلف استفادهنشده بود، که نشان میدهد هنوز درحال توسعه است.
با استفاده از یک ویژگی پراکسی و سوءاستفاده از خدمات Accessibility Services یا دسترسیپذیری، میتواند اقداماتی را از طرف قربانی انجام دهد و به مهاجمان اجازه میدهد در حملات تصاحب حساب (ATO) و تصرف دستگاه (DTO) شرکت کنند که عمدتاً به برنامههای بانکی و ارزهای دیجیتال حمله میکند.
این بدافزار از طریق صفحات فیشینگ توزیع و بهعنوان برنامههای کاربردی قانونی معرفی میشود. همچنین از شبکه توزیع محتوای قانونی (CDN) برای توزیع فایل استفاده میکند.
ThreatFabric اخیراً یک نوع Chameleon بهروزرسانی شده را شناسایی کرده است که ویژگیها و شیوههای عملکرد مشابه نسخه قبلی خود را نشان میدهد و در عین حال ویژگیهای پیشرفته را نیز در خود جای داده است.
نمونههای جدید از طریق Zombinder توزیع میشوند، یک dropper-as-a-service (DaaS) که در حملاتی که کاربران اندروید را هدف قرار میدهند، استفاده میشود.
ThreatFabric معتقد است که نمونههای Zombinder مشاهدهشده از یک فرآیند پیچیده 2 مرحلهای استفاده میکنند که خانواده بدافزار Hook را همراه با Chameleon بهکار میگیرد.
یکی از مهمترین قابلیتها در نسخهی جدید Chameleon، بررسی اختصاصی دستگاه است که هنگام دریافت فرمان از سرور فرمان و کنترل (C&C) فعال میشود که محافظهای تنظیمات محدود یا Restricted Settings معرفیشده در اندروید 13 را هدف قرار میدهد.
با دریافت فرمان، تروجان یک صفحه HTML را نمایش میدهد که از قربانی میخواهد تا سرویس Accessibility را فعال کند. این صفحه قربانی را از طریق یک فرآیند گامبهگام دستی برای فعال کردن سرویس مورد نظر راهنمایی میکند. سپس به بدافزار اجازه میدهد تا DTO را انجام دهد.
نسخه جدید این بدافزار
نسخه جدید Chameleon ویژگی جدیدی را برای قطع عملیات بیومتریک در دستگاه قربانی اجرا میکند که همچنین از طریق یک دستورالعمل خاص فعال میشود.
پس از دریافت فرمان، بدافزار وضعیت صفحه و صفحهکلید دستگاه را ارزیابی میکند. سپس از عمل AccessibilityEvent برای انتقال از احراز هویت بیومتریک به تأیید اعتبار پین استفاده میکند. بنابراین، درخواست بیومتریک را دور میزند.
اجبار به احراز هویت مجدد «استاندارد» 2 مزیت را برای بازیگران زیرزمینی فراهم میکند. اول، سرقت پینها، رمزهای عبور یا کلیدهای گرافیکی را از طریق عملکردهای keylogging تسهیل میکند. زیرا دادههای بیومتریک برای این عوامل تهدید غیرقابل دسترس باقی میماند. دوم، استفاده از این بکگراند، بازیگران را قادر میسازد تا قفل دستگاهها را با استفاده از پینهای دزدیدهشده قبلی باز کنند.
نسخه بهروز شده Chameleon همچنین برنامهریزی وظایف را با استفاده از AlarmManager API معرفی میکند. قابلیتی که در سایر تروجانهای بانکی وجود دارد؛ اما بهگونهای متفاوت اجرا میشود. اگر گزینه دسترسپذیری اجرا نشود، بدافزار میتواند به جمعآوری اطلاعات در برنامههای کاربر برای شناسایی برنامه پیشزمینه و نمایش همپوشانیها با استفاده از فعالیت «Injection» روی بیاورد.
خط مقدم محافظت از امنیت کامپیوتر شما، استفاده از آنتی ویروسی است که قابلیت اطمینان بالایی داشته باشد و مدام به روزرسانی شود. ما در مجموعهی شیدافزار برای این نگرانی شما عزیزان، ضدویروس شید را پیشنهاد میکنیم.