Um novo trojan do Android chamado 'Chameleon' tem como alvo usuários na Austrália e Polônia desde o início do ano, imitando a exchange de criptomoedas CoinSpot, uma agência governamental australiana e o banco IKO.
O malware móvel foi descoberto pela empresa de segurança cibernética Cyble, que relata ter visto a distribuição através de sites comprometidos, anexos do Discord e serviços de hospedagem do Bitbucket.
O Chameleon inclui uma ampla gama de funcionalidades maliciosas, incluindo roubo de credenciais de usuário através de injeções de sobreposição e keylogging, cookies e SMS do dispositivo infectado.
Ao iniciar, o malware realiza uma variedade de verificações para evitar a detecção pelo software de segurança.
Essas verificações incluem verificações anti-emulação para detectar se o dispositivo está enraizado e se a depuração está ativada, aumentando a probabilidade de que o aplicativo esteja sendo executado em um ambiente de análise.
Se o ambiente parecer limpo, a infecção continua e o Chameleon solicita à vítima que permita o uso do Serviço de Acessibilidade, que é abusado para conceder permissões adicionais, desativar o Google Play Protect e impedir que o usuário o desinstale.
Na primeira conexão com o C2, o Chameleon envia a versão do dispositivo, modelo, status de root, país e localização precisa, provavelmente para perfilar a nova infecção.
Em seguida, dependendo da entidade que o malware impersone, ele abre sua URL legítima em um WebView e começa a carregar módulos maliciosos em segundo plano.
Esses incluem um ladrão de cookies, um keylogger, um injetor de páginas de phishing, um ladrão de PIN/padrão de tela de bloqueio e um ladrão de SMS que pode roubar senhas únicas e ajudar os atacantes a contornar as proteções 2FA.
A maioria desses sistemas de roubo de dados depende do abuso dos Serviços de Acessibilidade para funcionar como necessário, permitindo que o malware monitore o conteúdo da tela, monitore eventos específicos, intervenha para modificar elementos de interface ou envie determinadas chamadas de API conforme necessário.
O mesmo serviço do sistema também é abusado para impedir a desinstalação do malware, identificando quando a vítima tenta remover o aplicativo malicioso e excluindo suas variáveis de preferência compartilhadas para que pareça que não está mais presente no dispositivo.
A exclusão de arquivos de preferências compartilhados força o aplicativo a restabelecer comunicações com o C2 na próxima vez que for iniciado, mas impede sua desinstalação e torna mais difícil para os pesquisadores analisá-lo.
A Cyble também observou um código que permite ao Chameleon baixar um payload durante o tempo de execução e salvá-lo no host como um arquivo ".jar", a ser executado mais tarde via DexClassLoader.
No entanto, esse recurso está atualmente inativo.
O Chameleon é uma ameaça emergente que pode adicionar mais recursos e capacidades em versões futuras.
Os usuários do Android são aconselhados a ter cuidado com os aplicativos que instalam em seus dispositivos, baixar apenas software em lojas oficiais e garantir que o Google Play Protect esteja sempre ativado.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...