En ny variant av en Android banktrojan har dukket opp som kan omgå biometrisk sikkerhet å bryte seg inn i enheter, og demonstrere en utvikling i skadelig programvare som angripere nå bruker mot et bredere spekter av ofre.
Chameleon banking-trojaneren – kalt for sin evne til å tilpasse seg miljøet gjennom flere nye kommandoer – dukket først opp på scenen i en "work-in-progress"-versjon i januar, spesielt for å målrette mot brukere i Australia og Polen. Spredt gjennom phishing-sider var skadevareoppførselen da preget av en evne til å etterligne pålitelige apper, forkle seg som institusjoner som Australian Taxation Office (ATO) og populære bank-apper i Polen for å stjele data fra brukerenheter.
Nå har forskere ved Threat Fabric oppdaget en ny, mer sofistikert versjon av Chameleon som også er rettet mot Android-brukere i Storbritannia og Italia, og spres gjennom et mørkt nett Zombinder app-delingstjeneste forkledd som en Google Chrome-app, de avslørte i et blogginnlegg publisert 21. desember.
Varianten inkluderer flere nye funksjoner som gjør den enda farligere for Android-brukere enn dens tidligere inkarnasjon, inkludert en ny evne til å avbryte de biometriske operasjonene til den målrettede enheten, sa forskerne.
Ved å låse opp biometrisk tilgang (ansiktsgjenkjenning eller fingeravtrykkskanning, for eksempel), kan angripere få tilgang til PIN-koder, passord eller grafiske nøkler gjennom tasteloggingsfunksjoner, samt låse opp enheter ved å bruke tidligere stjålne PIN-koder eller passord. "Denne funksjonaliteten for å effektivt omgå biometriske sikkerhetstiltak er en bekymringsfull utvikling i landskapet med mobil malware," ifølge Threat Fabrics analyse.
Varianten har også en utvidet funksjon som utnytter Androids tilgjengelighetstjeneste for overtakelse av enheter, samt en funksjon som finnes i mange andre trojanere for å tillate oppgaveplanlegging ved hjelp av AlarmManager API, fant forskerne.
"Disse forbedringene hever sofistikeringen og tilpasningsevnen til den nye Chameleon-varianten, og gjør den til en mer potent trussel i det stadig utviklende landskapet av mobilbanktrojanere," skrev de.
Chameleon: En formskiftende biometrisk evne
Samlet sett viser de tre distinkte nye funksjonene til Chameleon hvordan trusselaktører reagerer på og kontinuerlig søker å omgå de siste sikkerhetstiltakene designet for å bekjempe innsatsen deres, ifølge Threat Fabric.
Skadevarens viktigste nye evne til å deaktivere biometrisk sikkerhet på enheten aktiveres ved å utstede kommandoen «interrupt_biometric», som utfører «InterruptBiometric»-metoden. Metoden bruker Androids KeyguardManager API og AccessibilityEvent for å vurdere enhetens skjerm- og tastelåsstatus, og evaluerer tilstanden til sistnevnte i form av ulike låsemekanismer, for eksempel mønster, PIN-kode eller passord.
Når de spesifiserte betingelsene oppfylles, bruker skadelig programvare denne handlingen til å gå over fra biometrisk autentisering til PIN-autentisering, omgå den biometriske forespørselen og la trojaneren låse opp enheten etter eget ønske, fant forskerne.
Dette gir i sin tur angripere to fordeler: gjør det enkelt å stjele personlige data som PIN-koder, passord eller grafiske nøkler, og lar dem gå inn på biometrisk beskyttede enheter ved å bruke tidligere stjålne PIN-koder eller passord ved å utnytte tilgjengelighet, ifølge Threat Fabric .
"Så selv om offerets biometriske data forblir utenfor rekkevidde for skuespillere, tvinger de enheten til å falle tilbake til PIN-autentisering, og omgår dermed biometrisk beskyttelse fullstendig," ifølge innlegget.
En annen viktig ny funksjon er en HTML-forespørsel for å aktivere tilgjengelighetstjenesten, som Chameleon er avhengig av for å starte et angrep å ta over enheten. Funksjonen involverer en enhetsspesifikk sjekk som aktiveres ved mottak av kommandoen "android_13" fra kommando-og-kontroll-serveren (C2), som viser en HTML-side som ber brukerne om å aktivere tilgjengelighetstjenesten og deretter veilede dem gjennom et manuelt trinn -for-steg prosess.
En tredje funksjon i den nye varianten introduserer en funksjon som også finnes i mange andre banktrojanere, men som til nå ikke hadde Chameleon: oppgaveplanlegging ved hjelp av AlarmManager API.
Imidlertid, i motsetning til andre manifestasjoner av denne funksjonen i banktrojanere, tar Chameleons implementering en "dynamisk tilnærming, som effektivt håndterer tilgjengelighet og aktivitetslanseringer i tråd med standard trojaneradferd," ifølge Threat Fabric. Den gjør dette ved å støtte en ny kommando som kan bestemme om tilgjengelighet er aktivert eller ikke, dynamisk bytte mellom ulike ondsinnede aktiviteter avhengig av tilstanden til denne funksjonen på enheten.
"Manipulation av tilgjengelighetsinnstillinger og dynamiske aktivitetslanseringer understreker ytterligere at den nye Chameleon er en sofistikert Android-skadevarestamme," ifølge Threat Fabric.
Android-enheter i fare for skadelig programvare
Med angrep mot at Android-enheter skyter i været, er det mer avgjørende enn noen gang for mobilbrukere vær forsiktig med å laste ned alle applikasjoner på enheten deres som virker mistenkelige eller ikke distribueres gjennom legitime appbutikker, anbefaler sikkerhetseksperter.
"Som trusselaktører fortsetter å utvikle seg, viser denne dynamiske og årvåkne tilnærmingen seg avgjørende i den pågående kampen mot sofistikerte cybertrusler," skrev forskerne.
Threat Fabric klarte å spore og analysere prøver av Chameleon relatert til den oppdaterte Zombinder, som bruker en sofistikert to-trinns nyttelastprosess for å slippe trojaneren. "De bruker SESSION_API gjennom PackageInstaller, og distribuerer Chameleon-prøvene sammen med Hook-skadevarefamilien," ifølge innlegget.
Threat Fabric publiserte indikatorer for kompromiss (IoCs) i sin analyse, i form av hasher, appnavn og pakkenavn knyttet til Chameleon, slik at brukere og administratorer kan overvåke for potensiell infeksjon av trojaneren.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/endpoint-security/chameleon-android-trojan-offers-biometric-bypass
- : har
- :er
- :ikke
- a
- evne
- adgang
- tilgjengelighet
- Ifølge
- Handling
- aktivert
- Aktiviteter
- aktivitet
- aktører
- tilpasse
- tilpasningsdyktighet
- administratorer
- fordeler
- råde
- mot
- tillate
- tillate
- langs
- også
- Selv
- an
- analyse
- analysere
- og
- android
- noen
- api
- app
- app-butikker
- dukket opp
- søknader
- tilnærming
- apps
- ER
- AS
- vurdere
- assosiert
- At
- angripe
- Angrep
- Australia
- Australian
- Autentisering
- tilbake
- Banking
- Battle
- atferd
- mellom
- biometrisk
- Blogg
- Break
- men
- by
- bypass
- CAN
- evne
- karakterisert
- sjekk
- Chrome
- bekjempe
- kompromiss
- angå
- forhold
- fortsette
- kontinuerlig
- avgjørende
- cyber
- Dangerous
- mørk
- mørk Web
- dato
- demonstrere
- demonstrere
- avhengig
- avhenger
- utplasserings
- designet
- Bestem
- Utvikling
- enhet
- Enheter
- gJORDE
- forskjellig
- visning
- distinkt
- distribueres
- gjør
- Drop
- dynamisk
- dynamisk
- lett
- effektivt
- effektivt
- innsats
- Hev
- muliggjøre
- aktivert
- forbedringer
- Enter
- fullstendig
- Miljø
- avgjørende
- Eter (ETH)
- evaluere
- Selv
- NOEN GANG
- evolusjon
- utvikle seg
- eksempel
- Utfører
- utvidet
- eksperter
- stoff
- ansikts
- ansiktsgjenkjenning
- Fall
- familie
- Trekk
- Egenskaper
- fingeravtrykk
- Først
- Til
- Tving
- skjema
- funnet
- fra
- funksjonalitet
- funksjonalitet
- videre
- Google Chrome
- førings
- Håndtering
- Ha
- Hvordan
- HTML
- HTTPS
- gjennomføring
- in
- inkluderer
- Inkludert
- indikatorer
- infeksjon
- institusjoner
- inn
- Introduserer
- innebærer
- utstedelse
- IT
- Italia
- DET ER
- selv
- Januar
- jpg
- nøkkel
- nøkler
- landskap
- siste
- lansere
- lanseringer
- legitim
- utnytter
- utnytte
- i likhet med
- linje
- gjøre
- Making
- skadelig
- malware
- fikk til
- Manipulasjon
- håndbok
- mange
- målinger
- mekanismer
- møte
- metode
- Mobil
- Mobile banking
- Overvåke
- mer
- flere
- navn
- Ny
- ny funksjon
- Nye funksjoner
- nå
- of
- Tilbud
- Office
- on
- pågående
- Drift
- motsetning
- or
- Annen
- ut
- enn
- pakke
- side
- sider
- Passord
- passord
- Mønster
- personlig
- personlig informasjon
- phishing
- PIN
- pins
- plato
- Platon Data Intelligence
- PlatonData
- Polen
- Populær
- Post
- potent
- potensiell
- forrige
- tidligere
- prosess
- ledetekster
- beskyttet
- beskyttelse
- beviser
- gir
- publisert
- område
- å nå
- anerkjennelse
- i slekt
- forblir
- forskere
- Svare
- Risiko
- s
- Sa
- skanner
- scene
- planlegging
- Skjerm
- sikkerhet
- sikkerhetstiltak
- Søke
- synes
- server
- tjeneste
- innstillinger
- flere
- So
- sofistikert
- raffinement
- spesielt
- spesifisert
- spre
- Sprer
- Standard
- Tilstand
- status
- stjålet
- butikker
- slik
- Støtte
- mistenkelig
- T
- Ta
- overtakelse
- tar
- Target
- målrettet
- mål
- Oppgave
- Skatt
- vilkår
- enn
- Det
- De
- Landskapet
- Staten
- Storbritannia
- deres
- Dem
- deretter
- derved
- Disse
- de
- Tredje
- denne
- trussel
- trusselaktører
- trusler
- tre
- Gjennom
- til
- spor
- overgang
- Trojan
- klarert
- SVING
- to
- Uk
- underst
- låse opp
- opplåsing
- til
- upon
- Bruker
- Brukere
- bruker
- ved hjelp av
- variant
- ulike
- versjon
- Offer
- ofre
- var
- web
- VI VIL
- om
- hvilken
- bredere
- vil
- med
- skrev
- zephyrnet
