Chameleon Android bankacılık truva atı, mobil kullanıcıları SMS mesajlarını yakalamayı ve kalıcılığı sürdürmeyi hedefleyen Cyble Research and Intelligence Labs (CRIL) tarafından vahşi doğada bulundu.
Bu kötü amaçlı yazılım, tuş vuruşlarını yakalar, tarayıcı çerezlerini çalar ve diğerleri arasında erişilebilirlik hizmetini kullanır.
Chameleon Android bankacılık truva atı, muhtemelen ChatGPT, Bitcoin, Chrome, CoinSpot vb. dahil olmak üzere farklı yazılımların simgelerini değiştirme doğası nedeniyle bu şekilde adlandırılmıştır.
Chameleon Android bankacılık truva atı tarafından gerçekleştirilen faaliyetler
Chameleon Android bankacılık truva atı, sürüm, model, konum vb. dahil olmak üzere cihaz verilerini C&C sunucusuna gönderir.
Ardından, içine kamufle olacağı yasal uygulamayı bir Web Görünümü’nde açar. Kötü amaçlı yazılım daha sonra yüklenen URL’den oturum çerezlerini çalar.
Chameleon Android bankacılık truva atının ayrıntıları
Siber suçlular, Chameleon Android bankacılık truva atını şüphelenmeyen kullanıcılara teslim etmek için saldırıya uğramış web sitelerini kullanıyordu.
Chameleon, uygulamanın listede bulunan paket adının sistemde bulunup bulunmadığını kontrol etmek için inject() işlevini çalıştırır.
Meşru bir uygulamanın varlığını onayladıktan sonra, meşru bir uygulama üzerinde bir yer paylaşımı oluşturmak için kötü amaçlı yazılımı enjekte eder.
Android bankacılık truva atı, cihazın şifresini çalarken ve C&C sunucusundan belirli görevleri gerçekleştirmek için ihtiyaç duyacağı ek sayfaları indirirken bulundu.
Aşağıdaki web sitesi URL’leri, hedefleri etkilemek için araç olarak kullanıldı –
- hxxps://cdn.discordapp[.]com/attachments/1051452726615216201/1056574187218681936/LTC_GiveAway[.]apk
- hxxps://bitbucket[.]org/leaanner173/3/downloads/ATO.apk
- hxxps://www[.]renatsoft.com[.]br/CoinSpot[.]apk
- hxxps://bitbucket[.]org/emmon11/indir/indirilenler/AdultFriendFinderApp[.]apk
Kötü amaçlı yazılımın, belirli senaryolarda kendi kendini otomatik olarak kaldırmasının yanı sıra, kendisinin kaldırılmasını önleyecek yeteneklere sahip olduğu bulundu.
Chameleon Android bankacılık truva atı örneğinin analizi
Android kötü amaçlı yazılımının yeni bulunan örneğine CoinSpot.apk adı verildi ve bir kripto para birimi uygulaması olarak kamufle edildi. Chameleon tarafından hedef alındığı tespit edilen yasal uygulama CoinSpot’du.
- CoinSpot’un SHA-256 hash değeri şuydu:
- Komuta ve kontrol sunucusu takip edildi hxxp://146.70.41[.]143:7242/.
- CoinSpots paket adı şuydu: com.top.omit
- Chameleon Android bankacılık truva atı için C&C sunucusu şuydu: hxxp://146.70.41[.[143:7242/api/v1/bots/a2dee0d3-9c1e-e1aa75fce-88c64b9a9de
- To communicate with the hacker, Chameleon would use the URL pattern of – /task to perform a task, /log to send logs from the device, and /statistic to share accessibility logs.
The Chameleon Android banking trojan would look for rooted devices and perform anti-emulation checks to see if it can easily emulate other apps. It also sends a request on the device to activate the Accessibility Service.
With more system access and accessibility service control, the Chameleon Android banking trojan would self-grant itself permissions, and disable Play Protect.
Developers are speculated to be working on the Chameleon Android banking trojan to increase its capabilities keeping its present activities in mind.