安全公司 Threat Fabric 发现了 Android 银行木马 Chameleon 的变种,该变种已从澳大利亚和波兰传播到英国和意大利的用户。 Chameleon 变体有两个重要的新功能,第一个是能够绕过设备的生物识别保护,另一个是能够显示 HTML 页面,因此无障碍服务也可以在具有 Android 13 受限设置的设备上激活。 增强型变色龙更加复杂,适应性更强,对用户构成更大的安全威胁。
今年 1 月,Threat Fabric 发现银行木马 Chameleon 能够伪装成合法的移动银行应用程序,以诱骗用户进入网络钓鱼页面。 当安全研究人员首次在网络上发现Chameleon时,它仍处于开发阶段,具有各种记录器,有限的恶意功能以及明确但未使用的指令,这些指令暗示了木马的方向和潜在功能。
Chameleon 等银行木马以银行应用程序和加密货币服务为目标,操纵受害者的设备,使用 ** 功能冒充受害者,并滥用 Android 的辅助功能进行帐户接管和设备接管。 攻击者采取多种方式发布 Chameleon,但主要是通过网络钓鱼页面、将其伪装成合法应用程序以及使用合法 CDN 发布文件。 过去,变色龙主要伪装成澳大利亚税务局和波兰流行的银行应用程序。
几个月后,安全人员重新发现,变色龙已经是一个改进版本,除了继承了之前版本的功能外,还增加了高端功能,变色龙变种通过恶意软件Zombinder传播并冒充谷歌Chrome应用程序,同时还扩大了攻击范围,延伸到英国和意大利。
新的变色龙变体具有引人注目的功能,当从 C13 服务器收到特定指令时,它会在 Android 2 设备上启动检查。 当 Chameleon 变体发现自己安装在限制应用活动的 Android 13 设备上时,它会通过显示一个 HTML 页面来动态响应,提示用户激活无障碍服务。 辅助服务对于Chameleon在设备接管攻击中的成功至关重要。
此外,Chameleon 变体可以使用 KeyguardManager API 和 AccessibilityEvent 来中断设备的生物识别操作功能,以根据不同的锁定机制(如图形、PIN 码或密码)评估锁定屏幕的状态。 当满足某些条件时,Chameleon可以使用AccessibilityEvent动作将生物识别认证转换为PIN认证,使Chameleon木马在绕过生物识别提示后可以随意解锁设备。
虽然攻击者无法操纵和访问生物识别数据,但通过强制回退到标准身份验证,攻击者可以通过键盘日志窃取图案、PIN 或密码密钥,然后使用辅助操作使用以前窃取的 PIN 或密码解锁设备,从而完全绕过生物识别保护。
Chameleon 变体还具有任务调度和活动控制功能,除了能够绕过设备生物识别保护和显示 HTML 页面外,Chameleon 还在更新后添加了其他银行木马功能,例如使用 AlarmManager API 进行任务调度。 研究人员提到,虽然任务调度在木马中很常见,但Chameleon的独特之处在于其动态调度的能力,可以有效地处理辅助功能和活动。
当变色龙变种发现无障碍功能被禁用时,可以从辅助模式切换到usagestats模式,并发起注入操作以发起覆盖攻击,即在受害者的设备上显示一个假界面,让受害者误以为被覆盖的接口是合法的应用程序, 并诱骗用户输入敏感信息,例如凭据、信用卡等。