文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

新安卓恶意软件“变色龙”正在冒充澳大利亚银行和加密货币交易所

2024-11-30 15:05

关注

Cyble 的安全研究人员表示 Chameleon 主要通过叠加注入和密钥记录、cookie 和受感染设备的短信窃取用户凭据。

能够逃避安全软件检查

该恶意软件有很强的逃避安全检查能力,一旦启动后会立即执行各种“检查”,以逃避安全软件的检测。(据悉,“检查”主要包括反仿真检查,以检测设备是否已扎根并激活调试,从而增加恶意软件应用程序在系统安全环境中运行的可能性。)

如果检查结果显示受害系统环境很“干净”,Chameleon 就会请求受害者允许其使用无障碍服务,并滥用该服务授予自身额外的权限,以期禁用 Google Play Protect。

请求允许使用无障碍服务(Cyble)

在与 C2 第一次连接时, 为了解最新的感染情况,Chameleon 灰发送设备版本、型号、根状态、国家和精确位置。接下来,根据恶意软件模拟的实体,它会在 WebView 中打开其合法 URL,并开始在后台加载恶意模块。

值得一提的事,这些模块包括一个 cookie 窃取器、一个键盘记录器、一个网络钓鱼页面注射器、一个锁屏 PIN/模式抓取器,以及一个可以窃取一次性密码并帮助攻击者绕过 2FA 保护的短信窃取器。

短信拦截(Cyble)

研究人员分析后发现上述恶意模块大多依赖可访问性服务滥用来按需工作,从而使 Chameleon 恶意软件能够监控屏幕内容、监控特定事件、进行干预以修改界面元素,或根据需要发送某些 API 调用。

滥用无障碍服务来检索锁屏密码(Cyble)

一部分恶意模块被用于阻止恶意软件的卸载,识别受害者何时试图删除恶意应用程序,并删除其共享的首选项变量,使其看起来好像不再存在于设备中。

自动删除共享首选项变量(Cyble)

共享的首选项变量的擦除使得 Chameleon 恶意应用程序在下次启动时重新建立与 C2 的通信,但阻止了其卸载,并使研究人员更难进行分析。

Cyble 还观察到一些代码,这些代码使 Chameleon 能够在运行时下载有效负载,并将其保存在主机上作为“.jar”文件,稍后通过 DexClassLoader 执行,但此功能目前尚未使用。

下载额外有效载荷的代码(Cyble)

Chameleon 作为一种新兴恶意软件威胁,可能会在未来的版本中增加更多的功能,因此网络安全专家建议安卓用户保持谨慎安装应用程序,只从官方商店下载软件,并确保其设备始终启用了Google Play Protect。

来源:FreeBuf.COM内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯