Novo malware Android Camaleão imita aplicativos bancários, governamentais e de criptomoedas
19 de Abril de 2023

Um novo trojan do Android chamado 'Chameleon' tem como alvo usuários na Austrália e Polônia desde o início do ano, imitando a exchange de criptomoedas CoinSpot, uma agência governamental australiana e o banco IKO.

O malware móvel foi descoberto pela empresa de segurança cibernética Cyble, que relata ter visto a distribuição através de sites comprometidos, anexos do Discord e serviços de hospedagem do Bitbucket.

O Chameleon inclui uma ampla gama de funcionalidades maliciosas, incluindo roubo de credenciais de usuário através de injeções de sobreposição e keylogging, cookies e SMS do dispositivo infectado.

Ao iniciar, o malware realiza uma variedade de verificações para evitar a detecção pelo software de segurança.

Essas verificações incluem verificações anti-emulação para detectar se o dispositivo está enraizado e se a depuração está ativada, aumentando a probabilidade de que o aplicativo esteja sendo executado em um ambiente de análise.

Se o ambiente parecer limpo, a infecção continua e o Chameleon solicita à vítima que permita o uso do Serviço de Acessibilidade, que é abusado para conceder permissões adicionais, desativar o Google Play Protect e impedir que o usuário o desinstale.

Na primeira conexão com o C2, o Chameleon envia a versão do dispositivo, modelo, status de root, país e localização precisa, provavelmente para perfilar a nova infecção.

Em seguida, dependendo da entidade que o malware impersone, ele abre sua URL legítima em um WebView e começa a carregar módulos maliciosos em segundo plano.

Esses incluem um ladrão de cookies, um keylogger, um injetor de páginas de phishing, um ladrão de PIN/padrão de tela de bloqueio e um ladrão de SMS que pode roubar senhas únicas e ajudar os atacantes a contornar as proteções 2FA.

A maioria desses sistemas de roubo de dados depende do abuso dos Serviços de Acessibilidade para funcionar como necessário, permitindo que o malware monitore o conteúdo da tela, monitore eventos específicos, intervenha para modificar elementos de interface ou envie determinadas chamadas de API conforme necessário.

O mesmo serviço do sistema também é abusado para impedir a desinstalação do malware, identificando quando a vítima tenta remover o aplicativo malicioso e excluindo suas variáveis de preferência compartilhadas para que pareça que não está mais presente no dispositivo.

A exclusão de arquivos de preferências compartilhados força o aplicativo a restabelecer comunicações com o C2 na próxima vez que for iniciado, mas impede sua desinstalação e torna mais difícil para os pesquisadores analisá-lo.

A Cyble também observou um código que permite ao Chameleon baixar um payload durante o tempo de execução e salvá-lo no host como um arquivo ".jar", a ser executado mais tarde via DexClassLoader.

No entanto, esse recurso está atualmente inativo.

O Chameleon é uma ameaça emergente que pode adicionar mais recursos e capacidades em versões futuras.

Os usuários do Android são aconselhados a ter cuidado com os aplicativos que instalam em seus dispositivos, baixar apenas software em lojas oficiais e garantir que o Google Play Protect esteja sempre ativado.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...