W styczniu 2023 r. Android, system operacyjny Google, stał się celem nowego, niezwykle poważnego zagrożenia cybernetycznego – trojana Cameleon. Dzięki początkowej obecności skupionej na użytkownikach w Australii i Polsce, to wyrafinowane szkodliwe oprogramowanie wykazało niezwykłe zdolności adaptacyjne, szybko stając się globalnym zagrożeniem.
Chameleon, nazwa odpowiadająca jego zdolnościom adaptacyjnym, wyróżnia się wieloma nowymi poleceniami, w tym sprawdzaniem nazw pakietów aplikacji. Jego głównymi celami są aplikacje bankowości mobilnej na Androida, dystrybuowane za pośrednictwem stron phishingowych udających legalne aplikacje.
Charakterystyczną cechą Chameleon jest jego zdolność do manipulowania urządzeniem z systemem Android ofiary, wykonując działania w jej imieniu za pośrednictwem funkcji proxy. Ta funkcjonalność umożliwia zaawansowane manewry, takie jak ataki typu Account Takeover (ATO) i Device Takeover (DTO), ukierunkowane w szczególności na aplikacje bankowe i usługi kryptowalutowe. Funkcje te opierają się na nadużywaniu przywilejów usługi ułatwień dostępu.
Google stworzył bezpiecznego Androida, jednak szkodliwe oprogramowanie po początkowych wersjach stworzyło także ulepszoną iterację, przejmując cechy swojego poprzednika. Nowy wariant rozszerzył swój region docelowy, obejmując obecnie użytkowników Androida w Wielkiej Brytanii i Włoszech. Wariant ten w dalszym ciągu realizuje swoje szkodliwe cele, w tym funkcję DTO za pośrednictwem usługi dostępności.
Google: Poważny problem Androida, który niepokoi cały świat
Nowe próbki tego wariantu, dystrybuowane za pośrednictwem Zombindera, charakteryzują się spójnym sposobem działania, a jednocześnie zawierają zaawansowane funkcje. Warto zauważyć, że często są dystrybuowane pod przykrywką aplikacji Google Chrome na Androida.
W zaktualizowanej wersji Chameleon wyróżniają się dwie nowe funkcje: możliwość ominięcia monitów biometrycznych i wyświetlenia strony HTML umożliwiającej włączenie usługi dostępności na urządzeniach z funkcją „Ustawienia z ograniczeniami” w systemie Android 13.
Opisana metoda wykorzystuje zdarzenia KeyguardManager API i Accessibility do oceny stanu ekranu urządzenia i systemu blokady, koncentrując się na różnych mechanizmach blokady, takich jak wzór, PIN czy hasło. Po spełnieniu określonych warunków szkodliwe oprogramowanie wykorzystuje akcję zdarzenia Dostępność w celu przełączenia z uwierzytelniania biometrycznego na uwierzytelnianie za pomocą kodu PIN. Omija to monit biometryczny, umożliwiając trojanowi odblokowanie urządzenia w dowolnym momencie.
Wymuszenie powrotu do „standardowej” metody uwierzytelniania daje cyberprzestępcom dwie korzyści. Po pierwsze, ułatwia kradzież kodów PIN, haseł lub kluczy graficznych poprzez funkcje rejestrowania naciśnięć klawiszy, ponieważ dane biometryczne pozostają dla tych podmiotów niedostępne.
Po drugie, wykorzystanie tej metody pozwala im odblokować urządzenia przy użyciu wcześniej skradzionych kodów PIN lub haseł. Odbywa się to poprzez działania dotyczące dostępności. Tym samym, chociaż dane biometryczne ofiary pozostają niedostępne dla podmiotów, zmuszają one urządzenie do powrotu do uwierzytelniania za pomocą PIN-u, całkowicie omijając w ten sposób ochronę biometryczną.
Pojawienie się nowego trojana bankowego Cameleon jest wyraźnym przykładem wyrafinowanego i adaptacyjnego krajobrazu zagrożeń w ekosystemie Androida. Wariant ten, będący ewolucją poprzedniej wersji, charakteryzuje się zwiększoną odpornością i zaawansowanymi nowymi funkcjami, co stanowi poważne zagrożenie w stale zmieniającym się krajobrazie mobilnych trojanów bankowych.
