Chameleon: Android bankarski trojanac

AUTOR ·

Chameleon, Android bankarski trojanac se ponovo pojavio sa novom verzijom koja koristi novu tehniku za preuzimanje sa kojom onemogućava otključavanje licem i otiskom prsta, kako bi ukrao PIN za otključavanje uređaja.

Chameleon

Chameleon: Android bankarski trojanac; Source: Leonardo AI Image Creator

UPOZNAVANJE

U januaru 2023. godine, Chameleon bankarski trojanac se pojavio kao značajna prijetnja, koristeći različite metode distribucije za infiltriranje u Android ekosistem. Prikladno nazvan “Chameleon”, ovaj trojanac pokazuje svoju prilagodljivost kroz više novih komandi, uključujući ispitivanje naziva paketa aplikacija. Njegove prvenstvene mete su aplikacije za mobilno bankarstvo, sa distribucijom putem stranica za krađu identiteta koje se prikrivaju kao legitimna aplikacija.

 

CHAMELEON BANKARSKI TROJANAC

Kada je otkriven 2023. godine, Chameleon bankarski trojanac bio je još u početnoj fazi razvoja. Obilježen upotrebom različitih alata za logovaje, ograničenim zlonamjernim funkcionalnostima i dobro definisanim, ali neiskorištenim komandama, nagovještavao je jasan potencijal za dalju evoluciju i uticaj.

Chameleon je pokazao karakterističnu sposobnost da manipuliše uređajem žrtve, izvještavajući radnje u ime žrtve preko funkcije proksija. Ova funkcija omogućava napredne operacije kao što su napadi preuzimanja naloga (eng. Account Takeover – ATO) i preuzimanja uređaja (eng. Device Takeover – DTO), posebno ciljanih na bankarske aplikacije i usluge kriptovaluta. Ove funkcionalnosti su se oslanjale na zloupotrebu privilegija usluge pristupačnosti.

Prethodna varijanta bankovnog trojanca Chameleon takođe je koristila raznovrstan skup metoda distribucije, sa preferencijama da se maskira kao legitimne aplikacije preko stranica za krađu identiteta i koristi legitimnu mrežu za distribuciju sadržaja (eng. Content Distribution Network – CDN) za distribuciju datoteka.

Ova strategija izaziva značajnu zabrinutost za banke i druge finansijske institucije. Umješnost trojanca u lažnom predstavljanju pouzdanih aplikacija povećava njegov potencijal za širok uticaj, naglašavajući značaj njegove prijetnje za mobilnu bezbjednost.

Nova varijanta Chameleon bankarskog trojanaca nastavlja svoje zlonamjerne ciljeve, uključujući mogućnost preuzimanja uređaja preko usluge pristupačnosti, pokazuje izvještaj sigurnosnih istraživača kompanije ThreatFabric. Distribuirani preko Zombinder platforme na Mračnom internetu, uzorci ove nove varijante pokazuju dosljedan način rada dok uvode napredne funkcije. Značajno je da se često distribuiraju tako što se predstavljaju kao Google Chrome aplikacije.

 

NOVE MOGUĆNOSTI

Sa novom verzijom Chameleon bankarskog trojanaca dolaze dvije nove funkcionalnosti. Prva je mogućnost zaobilaženja biometrijske autentifikacije, a druga je mogućnost prikazivanja HTML stranice za omogućavanje usluge pristupačnosti na uređajima koji implementiraju funkciju “Ograničena podešavanja” (eng. Restricted Settings) na Android 13 operativnom sistemu.

Ove nove funkcionalnosti pokazuju sofisticiranost i prilagodljivost nove varijante Chameleon bankarskog trojanaca, čineći ga opasnom prijetnjom u domenu okruženja bankarskih trojanaca koje se stalno razvija.

 

Zaobilaženja biometrijske autentifikacije

Nova varijanta Chameleon bankarskog trojanaca uvodi funkciju koja ima za cilj da prekine biometrijske operacije ciljanog uređaja. Ova funkcija je omogućena izdavanjem komande “interrupt_bimetric”. Po prijemu ove komande, zlonamjerni softver izvršava metod “InterruptBiometric”.

Ovaj metod koristi KeyguardManager API i AccessibilityEvent za procjenu statusa ekrana i tastature. On procjenjuje stanje zaštite tastature u vezi sa različitim mehanizmima zaključavanja, kao što su šablon, PIN ili lozinka. Kada ispuni navedene uslove, zlonamjerni softver koristi akciju AccessibilityEvent za prelazak sa biometrijske autentifikacije na PIN autentifikaciju. Ovo zaobilazi biometrijski upit, omogućavajući trojancu da otključa uređaj po želji.

Nasilno prekidanje biometrijske autentifikacije i vraćanje na “standardnu” autentifikaciju, zlonamjernim akterima omogućava dvije prednosti. Prva je ta, što im je olakšana krađa PIN-ova, lozinki ili šablona, pošto su im biometrijski podaci nedostupni. Druga prednost je zloupotreba ukradenih PIN-ova ili lozinki za otključavanje uređaja.

Dakle, pošto su zlonamjernim akterima biometrijski podaci nedostupni, oni primoravaju uređaj da se vrati na PIN autentifikaciju, čime se u potpunosti zaobilazi biometrijska zaštita.

 

HTML upit za omogućavanje usluge pristupačnosti

U ovom slučaju, kada nova verzija Chameleon bankarskog trojanaca otkrije da se nalazi na uređaju sa operativnom sistemom Android 13 sa primijenjenim ograničenjima na aplikacije, ona reaguje dinamički. Zlonamjerni softver prikazuje HTML stranicu, pozivajući korisnike da omoguće uslugu pristupačnosti. Ovaj korak je ključan za Chameleon zlonamjerni softver, jer se oslanja na ovu uslugu za uspješno izvršenje napada preuzimanja uređaja.

Prikazana HTML stranica vodi korisnike kroz ručni postupak korak po korak kako bi omogućili uslugu pristupačnosti na Android 13 i novijim verzijama operativnog sistema.

Ova nova funkcionalnost još jednom demonstrira kako zlonamjerni akteri reaguju na najnovije bezbjednosne mjere osmišljene da osujetite njihove napore i neprestano nastoje da ih zaobiđu. Chameleon bankarski trojanac je primjer trenda gdje zlonamjerni akteri prilagođavaju svoje zahtjeve integrišu provjere ograničenja Android 13 operativnog sistema u zlonamjerni softver kako bi zaobišli bezbjednosne mjere.

 

Zakazivanje zadataka i kontrola aktivnosti

Pored iznad spomenutih funkcionalnosti, Chameleon bankarski trojanac u novoj verziji uvodi i mogućnosti koje se nalaze u mnogim drugim bankarskim trojancima. Tu se prvenstveno misli na zakazivanje zadataka pomoću AlarmManager API funkcionalnosti, karakteristika koja nije bila prisutna u prethodnoj varijanti ovog zlonamjernog softvera. Iako je ova funkcionalnost uobičajena među trojanacima, ono što je posebno u ovom slučaju je njen dinamičan pristup, efikasno rukovanje pristupačnosti i pokretanja aktivnosti u skladu sa standardnim ponašanjem trojanaca.

Nova verzija ovog zlonamjernog softvera podržava novu komandu, “inejction_tipe”. Ova komanda donosi jedinstveni element trojanskom mehanizmu za planiranje zadataka. Automatski se prebacuje sa “a11i” (a11i je skraćenica za pristupačnost) na “usagestats” po prijemu određene komande, u zavisnosti od toga da li je pristupačnost onemogućena ili ne. Ako je omogućena, zlonamjerni softver pokreće napade preklapanja kroz aktivnost ubrizgavanja (eng. injection).

Ako je usluga pristupačnosti onemogućena, zlonamjerni softver se neprimjetno prebacuje sa “a11i” na “usagestats”, prikupljajući informacije o korištenju korisničkih aplikacija na Android uređajima sa Android 13 ili novijim operativnim sistemom. Ovi podaci, uključujući aplikaciju u prvom planu, pružaju alternativni metod za određivanje aplikacije u prvom planu i odlučivanje da li da se pokrene aktivnost preklapanja ili ubrizgavanja.

 

ZAKLJUČAK

Pojava Chameleon bankarskog trojanaca je još jedan primjer sofisticiranog i prilagodljivog pejzaža prijetnji unutar Android ekosistema. Razvijajući se od svoje ranije iteracije, ova varijanta pokazuje povećanu otpornost i napredne nove funkcije. Sa proširenim fokusom na korisnike u Velikoj Britaniji i Italiji, trojanac koristi više metoda distribucije, uključujući primjenu preko Zombinder platforme na Mračnom internetu i maskiranje u legitimne aplikacije kao što je Chrome aplikacija.

Zapažene su nove funkcije trojanca, kao što su HTML stranice za procjene Android 13 uređaja i ometanje biometrijskih operacija, koje demonstriraju njegove mogućnosti prilagođavanja. Manipulacija postavkama pristupačnosti i pokretanja dinamičke aktivnosti dodatno naglašavaju da je novi Chameleon sofisticirani Android zlonamjerni softver. Zbog toga je u okruženju prijetnji koje se stalno razvija, razumijevanje zamršenosti nove varijante Chameleon bankarskog trojanaca je važno u formulisanju efikasnih odbrambenih strategija.

 

ZAŠTITA

Korištenje zvaničnih izvora aplikacija korištenje bezbjednosnih aplikacija trebalo bi da bude dovoljno za otkrivanje zlonamjernih aplikacija; međutim, postoje dodatni koraci koje korisnici mogu preduzeti da bi se zaštitili:

  • Korisnici Android operativnog sistema treba da izbjegavaju instalaciju aplikacija iz nezvaničnih izvora i prodavnica aplikacija trećih strana i da se drže pouzdanih platformi kao što je Google Play prodavnica, koje primjenjuje procese pregleda aplikacija i bezbjednosne mjere. Iako ovo ne garantuje potpunu zaštitu, smanjuje rizik od preuzimanja zlonamjernih aplikacija,
  • Pouzdana sigurnosna aplikacija za Android operativni sistem štiti uređaj korisnika od zlonamjernih aplikacija. Sigurnosne aplikacije pružaju dodatni sloj zaštite skeniranjem i identifikacijom potencijalno štetnih aplikacija, otkrivanjem zlonamjernog softvera i upozoravanjem korisnika na sumnjive aktivnosti,
  • Korisnici trebaju prilikom preuzimanja aplikacije iz Google Play prodavnice trebaju obratiti pažnju na na recenzije korisnika (možda nisu dostupne u nezvaničnim prodavnicama). Ključno je biti svjestan da pozitivne kritike mogu biti lažne kako bi se povećao kredibilitet zlonamjernih aplikacija. Korisnici bi trebalo da se usredsrede na negativne kritike i pažljivo procjene zabrinutosti korisnika, jer mogu otkriti važne informacije o zlonamjernoj aplikaciji,
  • Prije instalacije aplikacije, korisnici trebaju da dobro pogledaju politiku privatnosti koju će aplikacija primjenjivati. Takođe, tokom instalacije aplikacije veoma je važno obratiti pažnju na podatke i dozvole kojima aplikacija traži pristup i postaviti sebi pitanja da li su ti podaci i dozvole neophodni za funkcionisanje aplikacije.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.