Cybersecurityonderzoekers hebben het deksel opgelicht van een nieuwe techniek die is toegepast door cybercriminelen achter de Android-bankingtrojan Chameleon. Deze is gericht op gebruikers in Canada door zich voor te doen als een Customer Relationship Management (CRM)-app.
“Chameleon werd gezien als een CRM-app die gericht was op een Canadese restaurantketen die internationaal opereert”, aldus het Nederlandse beveiligingsbedrijf ThreatFabric in een technisch rapport dat maandag werd gepubliceerd.
De campagne, die in juli 2024 werd gespot, richtte zich op klanten in Canada en Europa, wat duidt op een uitbreiding van de victimologievoetafdruk vanuit Australië, Italië, Polen en het Verenigd Koninkrijk
Het gebruik van CRM-gerelateerde thema’s voor de kwaadaardige dropper-apps die de malware bevatten, wijst erop dat klanten in de horeca en Business-to-Consumer (B2C)-werknemers de doelwitten zijn.
De dropper-artefacten zijn ook ontworpen om de beperkte instellingen te omzeilen die Google in Android 13 en later heeft opgelegd. Zo wordt voorkomen dat sideloaded apps gevaarlijke machtigingen aanvragen (bijvoorbeeld toegankelijkheidsservices). Deze techniek werd eerder gebruikt door SecuriDroper en Brokewell.
Na installatie toont de app een nep-inlogpagina voor een CRM-tool en vervolgens een valse foutmelding waarin slachtoffers worden aangespoord de app opnieuw te installeren. In werkelijkheid wordt echter de Chameleon-payload geïnstalleerd.
Deze stap wordt gevolgd door het opnieuw laden van de nep-CRM-webpagina, deze keer met de vraag om het inlogproces te voltooien, alleen om een andere foutmelding te tonen met de melding “Uw account is nog niet geactiveerd. Neem contact op met de HR-afdeling.”
Chameleon kan fraude op het apparaat (ODF) uitvoeren en op frauduleuze wijze geld van gebruikers overmaken. Daarbij maakt het ook gebruik van overlays en de uitgebreide machtigingen om inloggegevens, contactenlijsten, sms-berichten en geolocatie-informatie te verzamelen.
“Als de aanvallers erin slagen een apparaat te infecteren met toegang tot corporate banking, krijgt Chameleon toegang tot zakelijke bankrekeningen en vormt het een aanzienlijk risico voor de organisatie”, aldus ThreatFabric. “De toegenomen waarschijnlijkheid van dergelijke toegang voor werknemers met CRM-rollen is de waarschijnlijke reden achter de keuze voor de maskering tijdens deze laatste campagne.”
De ontwikkeling volgt enkele weken nadat IBM X-Force een malwarecampagne in Latijns-Amerika voor banken beschreef die door de CyberCartel-groep werd uitgevoerd om inloggegevens en financiële gegevens te stelen en een trojan met de naam Caiman te verspreiden via schadelijke Google Chrome-extensies.
“Het uiteindelijke doel van deze kwaadaardige activiteiten is om een schadelijke browserplug-in te installeren op de browser van het slachtoffer en de Man-in-the-Browser-techniek te gebruiken”, aldus het bedrijf.
“Hierdoor kunnen aanvallers op illegale wijze gevoelige bankgegevens verzamelen, samen met andere relevante gegevens zoals gecompromitteerde machine-informatie en on-demand screenshots. Updates en configuraties worden via een Telegram-kanaal verspreid door de dreigingsactoren.”