Исследователи кибербезопасности обнаружили обновленную версию банковской вредоносной программы для Android под названием Chameleon, которая расширила свой таргетинг на пользователей в Великобритании и Италии.
"Представляя собой реструктурированную и улучшенную версию своего предшественника, этот усовершенствованный вариант Chameleon отличается выполнением захвата устройства (DTO) с использованием службы специальных возможностей, при этом расширяя целевой регион", - говорится в отчете голландской компании по мобильной безопасности ThreatFabric, опубликованном в Hacker News.
Chameleon был ранее задокументирован компанией Cyble в апреле 2023 года, отметив, что он использовался для выделения пользователей в Австралии и Польше как минимум с января. Как и другие банковские вредоносные программы, он, как известно, злоупотребляет своими разрешениями на доступ к службе специальных возможностей Android для сбора конфиденциальных данных и проведения оверлейных атак.
Мошеннические приложения, содержащие более раннюю версию, были размещены на фишинговых страницах и, как было обнаружено, выдавали себя за подлинные учреждения в странах, таких как Налоговое управление Австралии (ATO) и платформа для торговли криптовалютами под названием CoinSpot, в попытке создать видимость доверия к ним.
Последние данные ThreatFabric показывают, что банковский троянец теперь поставляется через Zombinder, готовую программу dropper-as-a-service (DaaS), которая продается другим субъектам угрозы и которая может использоваться для "привязки" вредоносных программ к законным приложениям.
Хотя предполагалось, что предложение было закрыто ранее в этом году, оно вновь появилось в прошлом месяце, рекламируя возможности обхода функции "Ограниченные настройки" в Android для установки вредоносного ПО на устройства и получения доступа к службе специальных возможностей.
Оба вредоносных артефакта, распространяющих Chameleon, маскируются под веб-браузер Google Chrome. Названия их пакетов перечислены ниже -
- Z72645c414ce232f45.Z35aad4dde2ff09b48
- com.busy.lady
Но для того, чтобы обманом заставить пользователей включить эту настройку, вредоносная программа проверяет версию Android на установленном устройстве и, если оказывается, что это Android 13 или более поздней версии, предлагает пользователю включить ее.
"Получив подтверждение наличия на зараженном устройстве ограниченных настроек Android 13, банковский троянец инициирует загрузку HTML-страницы", - пояснили в ThreatFabric. "На странице пользователи проходят пошаговый процесс вручную, чтобы включить службу специальных возможностей на Android 13 и выше".
Еще одним новым дополнением является использование API Android для нарушения биометрических операций целевого устройства путем скрытого преобразования механизма аутентификации на экране блокировки в PIN-код, чтобы позволить вредоносному ПО "разблокировать устройство по желанию" с помощью службы специальных возможностей.
"Появление нового банковского трояна Chameleon является еще одним примером сложного и адаптивного ландшафта угроз в экосистеме Android", - заявили в компании. "Развиваясь по сравнению со своей предыдущей версией, этот вариант демонстрирует повышенную устойчивость и расширенные новые функции".
Разработка началась после того, как Zimperium обнаружила, что за последний год 29 семейств вредоносных программ, 10 из которых новые, нацелились на 1800 банковских приложений в 61 стране. Новые активные семейства включают Nexus, Godfather, PixPirate, Saderat, Hook, PixBankBot, Xenomorph v3, Vultur, BrasDex и GoatRAT.
Крупнейшие страны, на которые нацелены пользователи США, включают США (109 банковских приложений), Великобританию (48), Италию (44), Австралию (34), Турцию (32), Францию (30), Испанию (29), Португалию (27), Германию (23), Канаду (17) и Бразилию (11). Наиболее ориентированными приложениями для предоставления финансовых услуг являются PhonePe (Индия), WeChat, Bank of America, Well Fargo (США), Binance (Мальта), Barclays (Великобритания), QNB Finansbank (Турция) и CaixaBank (Испания).
"Основной целью остаются традиционные банковские приложения: ошеломляющие 1103 приложения, на которые приходится 61% целей, в то время как новые приложения для финансовых технологий и торговли сейчас находятся под прицелом, составляя оставшиеся 39%", – сказали в компании.
