Android, sistemul de operare al Google, a fost, in luna ianuarie 2023, vizat de o nouă amenințare cibernetică extrem de grava troianul Cameleon. Cu o prezență inițială concentrată asupra utilizatorilor din Australia și Polonia, acest malware sofisticat a demonstrat o adaptabilitate extraordinară, devenind rapid un pericol global.
Cameleon, un nume pe măsura capacității sale de a se adapta, se distinge prin multiple comenzi noi, inclusiv examinarea numelor de pachet ale aplicațiilor. Principalele sale ținte sunt aplicațiile bancare mobile pentru Android, fiind distribuit prin pagini de phishing care se maschează drept aplicații legitime.
O trăsătură distinctivă a Cameleonului este abilitatea sa de a manipula dispozitivul Android al victimei, executând acțiuni în numele acesteia prin intermediul unei funcții proxy. Această funcționalitate permite manevre avansate cum ar fi atacurile de tip Account Takeover (ATO) și Device Takeover (DTO), țintind în special aplicațiile bancare și serviciile de criptomonede. Aceste funcționalități se bazează pe abuzul de privilegii ale Serviciului de Accesibilitate.
Google a creat un Android sigur, insa acest malware, după versiunile inițiale, a avut creata si o iterație imbunatatita, moștenind caracteristicile predecesorului său. Noua variantă și-a extins regiunea țintă, incluzând acum și utilizatorii Android din Regatul Unit și Italia. Această variantă continuă să urmărească obiectivele sale maligne, inclusiv capacitatea DTO prin Serviciul de Accesibilitate.
Google: Problema Grava a Android care Ingrijoreaza Lumea Intreaga
Distribuit prin Zombinder, noile mostre ale acestei variante prezintă un modus operandi consistent, introducând totodată funcții avansate. Notabil este faptul că sunt distribuite adesea sub masca aplicațiilor Google Chrome pentru Android, de la Google.
Două funcții noi se disting în varianta actualizată a Cameleonului: capacitatea de a ocoli prompturile biometrice și de a afișa o pagină HTML pentru activarea serviciului de accesibilitate pe dispozitivele ce implementează caracteristica “Setări Restricționate” din Android 13.
Metoda descrisă utilizează API-ul KeyguardManager și evenimentele de Accesibilitate pentru a evalua starea ecranului și a sistemului de blocare al dispozitivului, concentrându-se pe diferite mecanisme de blocare, cum ar fi modelul, PIN-ul sau parola. Când sunt îndeplinite condițiile specificate, malware-ul folosește acțiunea evenimentului de Accesibilitate pentru a trece de la autentificarea biometrică la autentificarea prin PIN. Acest lucru ocolește promptul biometric, permițând troianului să deblocheze dispozitivul după bunul său plac.
Forțarea revenirii la o metodă de autentificare ‘standard’ oferă actorilor din lumea cybercriminalității două avantaje. În primul rând, facilitează furtul de PIN-uri, parole sau chei grafice prin funcții de keylogging, deoarece datele biometrice rămân inaccesibile acestor actori.
În al doilea rând, exploatarea acestei metode le permite să deblocheze dispozitive folosind PIN-uri sau parole furate anterior. Acest lucru se realizează prin acțiuni de Accesibilitate. Astfel, deși datele biometrice ale victimei rămân inaccesibile actorilor, aceștia forțează dispozitivul să revină la autentificarea prin PIN, ocolind astfel în totalitate protecția biometrică.
Emergența noului troian bancar Cameleon reprezintă un exemplu clar al peisajului sofisticat și adaptativ de amenințări din cadrul ecosistemului Android. Evoluând dintr-o iterație anterioară, această variantă demonstrează o reziliență crescută și funcții noi avansate, reprezentând un pericol major în peisajul în continuă schimbare al troianilor bancari mobili.