Cyble 的安全研究人员表示 Chameleon 主要通过叠加注入和密钥记录、cookie 和受感染设备的短信窃取用户凭据。
能够逃避安全软件检查
该恶意软件有很强的逃避安全检查能力,一旦启动后会立即执行各种“检查”,以逃避安全软件的检测。(据悉,“检查”主要包括反仿真检查,以检测设备是否已扎根并激活调试,从而增加恶意软件应用程序在系统安全环境中运行的可能性。)
如果检查结果显示受害系统环境很“干净”,Chameleon 就会请求受害者允许其使用无障碍服务,并滥用该服务授予自身额外的权限,以期禁用 Google Play Protect。
请求允许使用无障碍服务(Cyble)
在与 C2 第一次连接时, 为了解最新的感染情况,Chameleon 灰发送设备版本、型号、根状态、国家和精确位置。接下来,根据恶意软件模拟的实体,它会在 WebView 中打开其合法 URL,并开始在后台加载恶意模块。
值得一提的事,这些模块包括一个 cookie 窃取器、一个键盘记录器、一个网络钓鱼页面注射器、一个锁屏 PIN/模式抓取器,以及一个可以窃取一次性密码并帮助攻击者绕过 2FA 保护的短信窃取器。
短信拦截(Cyble)
研究人员分析后发现上述恶意模块大多依赖可访问性服务滥用来按需工作,从而使 Chameleon 恶意软件能够监控屏幕内容、监控特定事件、进行干预以修改界面元素,或根据需要发送某些 API 调用。
滥用无障碍服务来检索锁屏密码(Cyble)
一部分恶意模块被用于阻止恶意软件的卸载,识别受害者何时试图删除恶意应用程序,并删除其共享的首选项变量,使其看起来好像不再存在于设备中。
自动删除共享首选项变量(Cyble)
共享的首选项变量的擦除使得 Chameleon 恶意应用程序在下次启动时重新建立与 C2 的通信,但阻止了其卸载,并使研究人员更难进行分析。
Cyble 还观察到一些代码,这些代码使 Chameleon 能够在运行时下载有效负载,并将其保存在主机上作为“.jar”文件,稍后通过 DexClassLoader 执行,但此功能目前尚未使用。
下载额外有效载荷的代码(Cyble)
Chameleon 作为一种新兴恶意软件威胁,可能会在未来的版本中增加更多的功能,因此网络安全专家建议安卓用户保持谨慎安装应用程序,只从官方商店下载软件,并确保其设备始终启用了Google Play Protect。