Cybersecurity-onderzoekers hebben een bijgewerkte versie ontdekt van Chameleon, een Android-banking-malware, die zijn targeting heeft uitgebreid naar gebruikers in Groot-Brittannië en Italië.
“Deze geëvolueerde Chameleon-variant vertegenwoordigt een geherstructureerde en verbeterde versie van zijn voorganger en blinkt uit in het uitvoeren van Device Takeover (DTO) met behulp van de toegankelijkheidsservice, terwijl de beoogde regio wordt uitgebreid”, aldus het Nederlandse mobiele beveiligingsbedrijf ThreatFabric in een rapport gedeeld met The Hacker News .
Chameleon werd eerder gedocumenteerd door Cyble in april 2023, waarbij werd opgemerkt dat het in ieder geval sinds januari werd gebruikt om gebruikers in Australië en Polen te selecteren. Net als andere bankmalware is het bekend dat het misbruik maakt van de machtigingen voor de toegankelijkheidsservice van Android om gevoelige gegevens te verzamelen en overlay-aanvallen uit te voeren.
De frauduleuze apps die de eerdere versie bevatten, werden gehost op phishing-pagina’s en bleken zich voor te doen als echte instellingen in de landen, zoals het Australian Taxation Office (ATO) en een cryptocurrency-handelsplatform genaamd CoinSpot, in een poging hen een sluier van geloofwaardigheid te geven.
Uit de nieuwste bevindingen van ThreatFabric blijkt dat de banktrojan nu wordt geleverd via Zombinder, een kant-en-klare dropper-as-a-service (DaaS) die wordt verkocht aan andere bedreigingsactoren en die kan worden gebruikt om kwaadaardige ladingen te ‘binden’. naar legitieme apps.
Hoewel vermoed werd dat het aanbod eerder dit jaar was stopgezet, dook het vorige maand weer op met advertentiemogelijkheden om de functie ‘Beperkte instellingen’ in Android te omzeilen om malware op apparaten te installeren en toegang te krijgen tot de toegankelijkheidsdienst.
Zowel de kwaadaardige artefacten die Chameleon verspreiden, doen zich voor als de Google Chrome-webbrowser. Hun pakketnamen staan hieronder vermeld –
- Z72645c414ce232f45.Z35aad4dde2ff09b48
- com.busy.lady
Een opvallend kenmerk van de verbeterde variant is de mogelijkheid om Device Takeover (DTO)-fraude uit te voeren, waarbij gebruik wordt gemaakt van de toegankelijkheidsdienst om ongeautoriseerde acties uit te voeren namens het slachtoffer.
Maar om gebruikers te misleiden om de instelling in te schakelen, controleert de malware de Android-versie op het geïnstalleerde apparaat en als blijkt dat deze Android 13 of hoger is, wordt de gebruiker gevraagd deze in te schakelen.
“Na ontvangst van de bevestiging dat Android 13 Restricted Settings aanwezig is op het geïnfecteerde apparaat, initieert de banktrojan het laden van een HTML-pagina”, legt ThreatFabric uit. “De pagina leidt gebruikers door een handmatig stapsgewijs proces om de toegankelijkheidsservice op Android 13 en hoger in te schakelen.”
Een andere nieuwe toevoeging is het gebruik van Android API’s om de biometrische werking van het beoogde apparaat te verstoren door het authenticatiemechanisme op het vergrendelscherm heimelijk over te zetten naar een pincode, zodat de malware “het apparaat naar believen kan ontgrendelen” met behulp van de toegankelijkheidsservice.
“De opkomst van de nieuwe Chameleon-banktrojan is een ander voorbeeld van het geavanceerde en adaptieve dreigingslandschap binnen het Android-ecosysteem”, aldus het bedrijf. “Deze variant is geëvolueerd ten opzichte van zijn eerdere versie en demonstreert verhoogde veerkracht en geavanceerde nieuwe functies.”
De ontwikkeling komt op het moment dat Zimperium onthulde dat 29 malwarefamilies – waarvan 10 nieuwe – het afgelopen jaar 1.800 bankapplicaties in 61 landen hadden aangevallen. De nieuwe actieve families zijn Nexus, Godfather, PixPirate, Saderat, Hook, PixBankBot, Xenomorph v3, Vultur, BrasDex en GoatRAT.
De Amerikaanse toplanden waar we ons op richten zijn de VS (109 bankapps), Groot-Brittannië (48), Italië (44), Australië (34), Turkije (32), Frankrijk (30), Spanje (29), Portugal (27), Duitsland (23), Canada (17) en Brazilië (11). De meest gerichte apps voor financiële diensten zijn PhonePe (India), WeChat, Bank of America, Well Fargo (VS), Binance (Malta), Barclays (VK), QNB Finansbank (Turkije) en CaixaBank (Spanje).
“Traditionele bankapplicaties blijven het belangrijkste doelwit, met maar liefst 1103 apps – goed voor 61% van de doelstellingen – terwijl de opkomende FinTech- en handelsapps nu in het vizier staan en de resterende 39% uitmaken”, aldus het bedrijf.
