Chameleon

「Chameleon」と呼ばれる新しい Android トロイの木馬は、年初からオーストラリアとポーランドのユーザーを標的にしており、CoinSpot 暗号通貨取引所、オーストラリア政府機関、および IKO 銀行を模倣しています。

このモバイル マルウェアは、サイバーセキュリティ会社のCybleによって発見されました。Cyble は、侵害された Web サイト、Discord の添付ファイル、および Bitbucket ホスティング サービスを介した配布を見たと報告しています。

Chameleon には、感染したデバイスからオーバーレイ インジェクションとキーロギング、Cookie、および SMS テキストを介してユーザーの資格情報を盗むなど、さまざまな悪意のある機能が含まれています。

回避重視

起動時に、マルウェアはさまざまなチェックを実行して、セキュリティ ソフトウェアによる検出を回避します。

これらのチェックには、デバイスがルート化され、デバッグがアクティブ化されているかどうかを検出するアンチエミュレーション チェックが含まれており、アプリがアナリストの環境で実行されている可能性が高くなります。

環境に問題がないように見えても、感染は継続し、Chameleon はユーザー補助サービスの使用を許可するよう被害者に要求します。これを悪用して、追加の権限を付与し、Google Play プロテクトを無効にし、ユーザーがそれをアンインストールできないようにします。

アクセシビリティ サービスの使用許可をリクエストする
アクセシビリティ サービス(Cyble)の使用許可を求める

C2 との最初の接続で、Chameleon はデバイスのバージョン、モデル、ルート ステータス、国、および正確な場所を送信します。これは、おそらく新しい感染のプロファイルを作成するためです。

次に、マルウェアが偽装するエンティティに応じて、正規の URL を WebView で開き、バックグラウンドで悪意のあるモジュールの読み込みを開始します。

これらには、Cookie スティーラー、キーロガー、フィッシング ページのインジェクター、ロック画面の PIN/パターン グラバー、およびワンタイム パスワードを奪い、攻撃者が 2FA 保護をバイパスするのを助けることができる SMS スティーラーが含まれます。

SMS傍受
SMS 傍受(Cyble)

これらのデータ盗用システムのほとんどは、アクセシビリティ サービスの悪用に依存して必要に応じて機能し、マルウェアが画面コンテンツを監視したり、特定のイベントを監視したり、介入してインターフェイス要素を変更したり、必要に応じて特定の API 呼び出しを送信したりできるようにします。

ユーザー補助サービスを悪用してロック画面のパスワードを取得する
ロック画面のパスワードを取得するためのユーザー補助サービスの悪用(Cyble)

同じシステム サービスを悪用して、マルウェアのアンインストールを阻止し、被害者が悪意のあるアプリを削除しようとしたことを特定し、その共有設定変数を削除して、アプリがデバイスに存在しなくなったかのように見せかけます。

共有設定変数の自動削除
共有設定変数の自動削除(Cyble)

共有設定ファイルを消去すると、アプリは次回の起動時に C2 との通信を再確立する必要がありますが、アンインストールが妨げられ、研究者による分析が難しくなります。

Cyble はまた、Chameleon が実行時にペイロードをダウンロードし、「.jar」ファイルとしてホストに保存し、後で DexClassLoader を介して実行できるようにするコードも確認しました。ただし、この機能は現在使用されていません。

追加のペイロードをダウンロードするコード
追加のペイロードをダウンロードするコード(Cyble)

カメレオンは、将来のバージョンでより多くの機能を追加する可能性のある新たな脅威です。

Android ユーザーは、デバイスにインストールするアプリに注意し、公式ストアからのみソフトウェアをダウンロードし、Google Play プロテクトが常に有効になっていることを確認することをお勧めします。