بدافزار Chameleon Android به برنامه‌های بانکی تلفن همراه حمله می‌کند.

• بدافزار Chameleon Android می تواند امنیت بیومتریک را دور بزند.

شرکت تشخیص کلاهبرداری آنلاین ThreatFabric گزارش می‌دهد که نوع جدیدی از تروجان بانکی Chameleon Android دارای قابلیت‌های بای‌پسbypass  جدید است و منطقه هدف خود را گسترش داده است.

این بدافزار که از اوایل سال 2023 فعال بود، ابتدا برنامه‌های بانکداری تلفن همراه را در استرالیا و لهستان هدف قرار داد. سپس به بریتانیا و ایتالیا نیز دسترسی پیدا کرد.

چگونگی عملکرد بدافزار Chameleon Android

ThreatFabric اظهار داشت: زمانی که این بدافزار کشف شد، Chameleon از چندین لاگر استفاده می‌کرد. همچنین عملکرد مخرب محدودی داشت و حاوی دستورات مختلف استفاده‌نشده بود، که نشان می‌دهد هنوز درحال توسعه است.

با استفاده از یک ویژگی پراکسی و سوءاستفاده از خدمات Accessibility Services یا دسترسی‌پذیری، می‌تواند اقداماتی را از طرف قربانی انجام دهد و به مهاجمان اجازه می‌دهد در حملات تصاحب حساب (ATO) و تصرف دستگاه (DTO) شرکت کنند که عمدتاً به برنامه‌های بانکی و ارزهای دیجیتال حمله می‌کند.

این بدافزار از طریق صفحات فیشینگ توزیع و به‌عنوان برنامه‌های کاربردی قانونی معرفی می‌شود. همچنین از شبکه توزیع محتوای قانونی (CDN) برای توزیع فایل استفاده می‌کند.

ThreatFabric اخیراً یک نوع Chameleon به‌روزرسانی شده را شناسایی کرده است که ویژگی‌ها و شیوه‌های عملکرد مشابه نسخه قبلی خود را نشان می‌دهد و در عین حال ویژگی‌های پیشرفته را نیز در خود جای داده است.

نمونه‌های جدید از طریق Zombinder توزیع می‌شوند، یک dropper-as-a-service (DaaS) که در حملاتی که کاربران اندروید را هدف قرار می‌دهند، استفاده می‌شود.

ThreatFabric معتقد است که نمونه‌های Zombinder مشاهده‌شده از یک فرآیند پیچیده 2 مرحله‌ای استفاده می‌کنند که خانواده بدافزار Hook را همراه با Chameleon به‌کار می‌گیرد.

یکی از مهم‌ترین قابلیت‌ها در نسخه‌ی جدید Chameleon، بررسی اختصاصی دستگاه است که هنگام دریافت فرمان از سرور فرمان و کنترل (C&C) فعال می‌شود که محافظ‌های تنظیمات محدود یا Restricted Settings معرفی‌شده در اندروید 13 را هدف قرار می‌دهد.

با دریافت فرمان، تروجان یک صفحه HTML را نمایش می‌دهد که از قربانی می‌خواهد تا سرویس Accessibility را فعال کند. این صفحه قربانی را از طریق یک فرآیند گام‌به‌گام دستی برای فعال کردن سرویس مورد نظر راهنمایی می‌کند. سپس به بدافزار اجازه می‌دهد تا DTO را انجام دهد.

نسخه جدید این بدافزار

نسخه جدید Chameleon ویژگی جدیدی را برای قطع عملیات بیومتریک در دستگاه قربانی اجرا می‌کند که همچنین از طریق یک دستورالعمل خاص فعال می‌شود.

پس از دریافت فرمان، بدافزار وضعیت صفحه و صفحه‌کلید دستگاه را ارزیابی می‌کند. سپس از عمل AccessibilityEvent برای انتقال از احراز هویت بیومتریک به تأیید اعتبار پین استفاده می‌کند. بنابراین، درخواست بیومتریک را دور می‌زند.

اجبار به احراز هویت مجدد «استاندارد» 2 مزیت را برای بازیگران زیرزمینی فراهم می‌کند. اول، سرقت پین‌ها، رمزهای عبور یا کلیدهای گرافیکی را از طریق عملکردهای keylogging تسهیل می‌کند. زیرا داده‌های بیومتریک برای این عوامل تهدید غیرقابل دسترس باقی می‌ماند. دوم، استفاده از این بک‌گراند، بازیگران را قادر می‌سازد تا قفل دستگاه‌ها را با استفاده از پین‌های دزدیده‌شده قبلی باز کنند.

نسخه به‌روز شده Chameleon همچنین برنامه‌ریزی وظایف را با استفاده از AlarmManager API معرفی می‌کند. قابلیتی که در سایر تروجان‌های بانکی وجود دارد؛ اما به‌گونه‌ای متفاوت اجرا می‌شود. اگر گزینه دسترس‌پذیری اجرا نشود، بدافزار می‌تواند به جمع‌آوری اطلاعات در برنامه‌های کاربر برای شناسایی برنامه پیش‌زمینه و نمایش هم‌پوشانی‌ها با استفاده از فعالیت «Injection» روی بیاورد.

خط مقدم محافظت از امنیت کامپیوتر شما، استفاده از آنتی ویروسی است که قابلیت اطمینان بالایی داشته باشد و مدام به روزرسانی شود. ما در مجموعه‌ی شیدافزار برای این نگرانی شما عزیزان، ضدویروس شید را پیشنهاد می‌کنیم.