安全公司 Threat Fabric 發現了 Android 銀行木馬 Chameleon 的變種,該變種已從澳大利亞和波蘭傳播到英國和義大利的使用者。 Chameleon 變體有兩個重要的新功能,第乙個是能夠繞過裝置的生物識別保護,另乙個是能夠顯示 HTML 頁面,因此無障礙服務也可以在具有 Android 13 受限設定的裝置上啟用。 增強型變色龍更加複雜,適應性更強,對使用者構成更大的安全威脅。
今年 1 月,Threat Fabric 發現銀行木馬 Chameleon 能夠偽裝成合法的移動銀行應用程式,以誘騙使用者進入網路釣魚頁面。 當安全研究人員首次在網路上發現Chameleon時,它仍處於開發階段,具有各種記錄器,有限的惡意功能以及明確但未使用的指令,這些指令暗示了木馬的方向和潛在功能。
Chameleon 等銀行木馬以銀行應用程式和加密貨幣服務為目標,操縱受害者的裝置,使用 ** 功能冒充受害者,並濫用 Android 的輔助功能進行帳戶接管和裝置接管。 攻擊者採取多種方式發布 Chameleon,但主要是通過網路釣魚頁面、將其偽裝成合法應用程式以及使用合法 CDN 發布檔案。 過去,變色龍主要偽裝成澳大利亞稅務局和波蘭流行的銀行應用程式。
幾個月後,安全人員重新發現,變色龍已經是乙個改進版本,除了繼承了之前版本的功能外,還增加了高階功能,變色龍變種通過惡意軟體Zombinder傳播並冒充谷歌Chrome應用程式,同時還擴大了攻擊範圍,延伸到英國和義大利。
新的變色龍變體具有引人注目的功能,當從 C13 伺服器收到特定指令時,它會在 Android 2 裝置上啟動檢查。 當 Chameleon 變體發現自己安裝在限制應用活動的 Android 13 裝置上時,它會通過顯示乙個 HTML 頁面來動態響應,提示使用者啟用無障礙服務。 輔助服務對於Chameleon在裝置接管攻擊中的成功至關重要。
此外,Chameleon 變體可以使用 KeyguardManager API 和 AccessibilityEvent 來中斷裝置的生物識別操作功能,以根據不同的鎖定機制(如圖形、PIN 碼或密碼)評估鎖定螢幕的狀態。 當滿足某些條件時,Chameleon可以使用AccessibilityEvent動作將生物識別認證轉換為PIN認證,使Chameleon木馬在繞過生物識別提示後可以隨意解鎖裝置。
雖然攻擊者無法操縱和訪問生物識別資料,但通過強制回退到標準身份驗證,攻擊者可以通過鍵盤日誌竊取圖案、PIN 或密碼金鑰,然後使用輔助操作使用以前竊取的 PIN 或密碼解鎖裝置,從而完全繞過生物識別保護。
Chameleon 變體還具有任務排程和活動控制功能,除了能夠繞過裝置生物識別保護和顯示 HTML 頁面外,Chameleon 還在更新後新增了其他銀行木馬功能,例如使用 AlarmManager API 進行任務排程。 研究人員提到,雖然任務排程在木馬中很常見,但Chameleon的獨特之處在於其動態排程的能力,可以有效地處理輔助功能和活動。
當變色龍變種發現無障礙功能被禁用時,可以從輔助模式切換到usagestats模式,並發起注入操作以發起覆蓋攻擊,即在受害者的裝置上顯示乙個假介面,讓受害者誤以為被覆蓋的介面是合法的應用程式, 並誘騙使用者輸入敏感資訊,例如憑據、信用卡等。