Android’in yeni bir çeşidi bankacılık Truva Atı yapabileceği ortaya çıktı biyometrik güvenliği atla Saldırganların artık daha geniş bir yelpazedeki kurbanlara karşı kullandığı kötü amaçlı yazılımlarda bir evrim olduğunu gösteren cihazlara sızmak.
Adını çok sayıda yeni komut aracılığıyla çevreye uyum sağlama yeteneğinden alan Chameleon bankacılık Truva Atı, ilk olarak Ocak ayında, özellikle Avustralya ve Polonya’daki kullanıcıları hedeflemek üzere “devam eden çalışma” sürümüyle sahneye çıktı. Kimlik avı sayfaları aracılığıyla yayılan kötü amaçlı yazılımın davranışı, güvenilir uygulamaları taklit etme, Avustralya Vergi Dairesi (ATO) gibi kurumlar gibi görünme ve popüler uygulamalarla popüler olma özelliğiyle karakterize ediliyordu. bankacılık uygulamaları Polonya’da kullanıcı cihazlarından veri çalmak için.
Şimdi, Threat Fabric’teki araştırmacılar Chameleon’un aynı zamanda hedef alan yeni ve daha gelişmiş bir versiyonunu tespit etti. Android kullanıcıları İngiltere ve İtalya’da ve Dark Web üzerinden yayılıyor Zombinder uygulama paylaşım hizmeti Google Chrome uygulaması olarak gizlenmiş, ortaya çıkardılar 21 Aralık’ta yayınlanan bir blog yazısında.
Araştırmacılar, bu varyantın, hedeflenen cihazın biyometrik işlemlerini kesintiye uğratma yeteneği de dahil olmak üzere, Android kullanıcıları için önceki versiyonuna göre onu daha da tehlikeli hale getiren çeşitli yeni özellikler içerdiğini söyledi.
Saldırganlar, biyometrik erişimin kilidini açarak (örneğin yüz tanıma veya parmak izi taramaları), keylogging işlevleri aracılığıyla PIN’lere, şifrelere veya grafik anahtarlara erişebilir ve ayrıca daha önce çalınan PIN’leri veya şifreleri kullanarak cihazların kilidini açabilir. Threat Fabric’in analizine göre “Biyometrik güvenlik önlemlerini etkili bir şekilde atlatmaya yönelik bu işlevsellik, mobil kötü amaçlı yazılım ortamında endişe verici bir gelişmedir.”
Araştırmacılar, bu varyantın ayrıca Android’in cihaz ele geçirme saldırıları için Erişilebilirlik hizmetinden yararlanan genişletilmiş bir özelliğinin yanı sıra diğer birçok truva atında bulunan ve AlarmManager API’sini kullanarak görev zamanlamasına izin veren bir yeteneğe sahip olduğunu buldu.
“Bu geliştirmeler, yeni Chameleon versiyonunun karmaşıklığını ve uyarlanabilirliğini artırıyor ve onu mobil bankacılık truva atlarının sürekli gelişen ortamında daha güçlü bir tehdit haline getiriyor” diye yazdılar.
Bukalemun: Şekil Değiştiren Biyometrik Yetenek
Threat Fabric’e göre, genel olarak Chameleon’un üç farklı yeni özelliği, tehdit aktörlerinin kendi çabalarıyla mücadele etmek için tasarlanan en son güvenlik önlemlerine nasıl yanıt verdiğini ve sürekli olarak bunları aşmaya çalıştığını gösteriyor.
Kötü amaçlı yazılımın cihazdaki biyometrik güvenliği devre dışı bırakmaya yönelik önemli yeni yeteneği, “InterruptBiometric” yöntemini çalıştıran “interrupt_biometric” komutunun verilmesiyle etkinleştiriliyor. Yöntem, cihaz ekranını ve tuş kilidi durumunu değerlendirmek için Android’in KeyguardManager API’sini ve AccessibilityEvent’i kullanıyor ve ikincisinin durumunu desen, PIN veya şifre gibi çeşitli kilitleme mekanizmaları açısından değerlendiriyor.
Belirtilen koşulların karşılanmasının ardından, kötü amaçlı yazılım bu eylemi kullanarak geçiş işlemini gerçekleştirir. biyometrik kimlik doğrulama Araştırmacılar, biyometrik istemi atlayarak ve Truva Atı’nın cihazın kilidini istediği zaman açmasına izin vererek PIN kimlik doğrulamasına geçiş yaptığını buldu.
Bu da saldırganlara iki avantaj sağlıyor: Threat Fabric’e göre PIN’ler, şifreler veya grafik anahtarlar gibi kişisel verilerin çalınmasını kolaylaştırmak ve Erişilebilirlik’ten yararlanarak daha önce çalınmış PIN’leri veya şifreleri kullanarak biyometrik olarak korunan cihazlara girmelerine izin vermek. .
Gönderiye göre “Kurbanın biyometrik verileri aktörlerin erişiminden uzak kalsa da, cihazı PIN kimlik doğrulamasına geri dönmeye zorluyorlar ve böylece biyometrik korumayı tamamen atlıyorlar.”
Bir diğer önemli yeni özellik ise Chameleon’un saldırı başlatmak için kullandığı Erişilebilirlik hizmetini etkinleştirmeye yönelik bir HTML istemidir. cihazı devralmak. Bu özellik, komut ve kontrol (C2) sunucusundan “android_13” komutunun alınması üzerine etkinleştirilen, kullanıcılardan Erişilebilirlik hizmetini etkinleştirmelerini isteyen bir HTML sayfası görüntüleyen ve ardından manuel bir adım boyunca onlara rehberlik eden, cihaza özel bir kontrolü içerir. -adım adım süreç.
Yeni varyanttaki üçüncü bir özellik, diğer birçok bankacılık Truva Atında da bulunan, ancak Chameleon’un şimdiye kadar sahip olmadığı bir yeteneği sunuyor: AlarmManager API’sini kullanarak görev planlama.
Bununla birlikte, Threat Fabric’e göre, bu özelliğin bankacılık Truva atlarındaki diğer belirtilerinin aksine, Chameleon’un uygulaması “dinamik bir yaklaşım benimsiyor, erişilebilirliği ve etkinlik başlatmalarını standart truva atı davranışına uygun şekilde verimli bir şekilde yönetiyor”. Bunu, erişilebilirliğin etkin olup olmadığını belirleyebilen yeni bir komutu destekleyerek, bu özelliğin cihazdaki durumuna bağlı olarak farklı kötü amaçlı etkinlikler arasında dinamik olarak geçiş yaparak yapar.
Threat Fabric’e göre “Erişilebilirlik ayarlarının manipülasyonu ve dinamik etkinlik başlatmaları, yeni Chameleon’un gelişmiş bir Android kötü amaçlı yazılım türü olduğunun altını çiziyor.”
Kötü Amaçlı Yazılım Riski Altındaki Android Cihazlar
Saldırılarla Yükselen Android cihazlara karşımobil kullanıcılar için her zamankinden daha önemli indirmeye dikkat edin Güvenlik uzmanları, cihazlarında şüpheli görünen veya meşru uygulama mağazaları aracılığıyla dağıtılmayan tüm uygulamaların engellenmesini tavsiye ediyor.
Araştırmacılar, “Tehdit aktörleri gelişmeye devam ettikçe, bu dinamik ve ihtiyatlı yaklaşım, karmaşık siber tehditlere karşı devam eden savaşta hayati önem taşıyor” diye yazdı.
Threat Fabric, güncellenmiş Zombinder ile ilgili Chameleon örneklerini izlemeyi ve analiz etmeyi başardı. Truva Atı’nı bırakmak için iki aşamalı karmaşık bir yük taşıma işlemi. Gönderiye göre “SESSION_API’yi PackageInstaller aracılığıyla kullanıyorlar ve Chameleon örneklerini Hook kötü amaçlı yazılım ailesiyle birlikte dağıtıyorlar.”
Threat Fabric, analizinde Chameleon ile ilişkili karmalar, uygulama adları ve paket adları biçiminde güvenlik ihlali göstergelerini (IoC’ler) yayınladı; böylece kullanıcılar ve yöneticiler Truva atının potansiyel bulaşmasını izleyebilir.
