"Chameleon"(变色龙)Android银行木马再次出现了一个新版本,它使用一种狡猾的技术来控制设备--禁用指纹和面部解锁来窃取设备密码。它通过使用 HTML 页面技巧来获取对辅助功能服务的访问权限,并使用一种破坏生物识别操作的方法来窃取 PIN 码并随意解锁设备。
今年 4 月发现的 Chameleon 早期版本曾假冒澳大利亚政府机构、银行和 CoinSpot 加密货币交易所,在被入侵设备上执行键盘记录、覆盖注入、Cookie 窃取和短信窃取等操作。
ThreatFabric 的研究人员一直在跟踪该恶意软件,他们报告说,该恶意软件目前是通过 Zombinder 服务冒充Google Chrome 浏览器发布的。
Zombinder将恶意软件"粘贴"到合法的Android应用程序上,这样受害者就可以享受他们打算安装的应用程序的全部功能,从而不太可能怀疑后台运行的是危险代码。
该平台声称,其恶意捆绑程序在运行时无法被检测到,可以绕过Google保护警报,躲避受感染设备上运行的任何反病毒产品。
携带"Chameleon"的apk冒充Google浏览器(ThreatFabric)
"Chameleon"最新变种的第一个新功能是在运行 Android 13 及更高版本的设备上显示 HTML 页面,提示受害者允许应用程序使用辅助功能服务。
Android13及更高版本受一种名为"受限设置"的安全功能保护,该功能可阻止批准辅助功能等危险权限,恶意软件可利用这些权限窃取屏幕内容、授予自身额外权限和执行导航手势。
当 Chameleon 检测到 Android 13 或 14 启动时,它会加载一个 HTML 页面,引导用户通过手动程序为应用程序启用辅助功能,从而绕过系统的保护。
变色龙的 HTML 页面提示(ThreatFabric)
第二个值得注意的新"功能"是,通过使用辅助功能服务强制退回到 PIN 或密码验证,从而中断设备上的生物识别操作,如指纹和面部解锁。
恶意软件会捕获受害者为解锁设备而输入的任何 PIN 码和密码,然后利用它们随意解锁设备,执行隐藏在视线之外的恶意活动。
破坏Android系统生物识别服务的 Java 代码片段(ThreatFabric)
最后,ThreatFabric 报告称,Chameleon 通过 AlarmManager API 增加了任务调度功能,以管理活动时间和定义活动类型。根据可访问性是启用还是禁用,恶意软件会适应发起覆盖攻击或执行应用程序使用数据收集,以决定最佳的注入时机。
ThreatFabric警告说:"这些增强功能提高了新变色龙变种的复杂性和适应性,使其在不断变化的移动银行木马中成为更强大的威胁。"
要防止 Chameleon 威胁,应避免从非官方来源获取 APK(Android软件包文件),因为这是 Zombinder 服务的主要传播方式。
此外,确保始终启用 Play Protect,并定期进行扫描,以确保您的设备没有恶意软件和广告软件。