Logiciel malveillant caméléon mobile
Une nouvelle forme de cheval de Troie Android appelée "Caméléon" a été détectée ciblant des utilisateurs en Australie et en Pologne depuis le début de 2023. Ce logiciel malveillant particulier est conçu pour imiter des entités légitimes telles que l'échange de crypto-monnaie CoinSpot, une agence gouvernementale australienne, et la banque IKO.
Selon la société de cybersécurité Cyble, la distribution de ce malware mobile aurait eu lieu via différents canaux. Il s'agit notamment de sites Web compromis, de pièces jointes sur la plate-forme de communication populaire Discord et de services d'hébergement fournis par Bitbucket. En outre, le cheval de Troie Chameleon Android dispose d'un large éventail de capacités nuisibles, qui comprennent le vol d'informations d'identification de l'utilisateur par le biais d'injections de superposition et d'enregistrement de frappe, ainsi que la collecte de cookies et de messages SMS à partir de l'appareil compromis.
Table des matières
Chameleon effectue diverses vérifications anti-détection
Lors de son exécution sur l'appareil Android piraté, le malware mobile Chameleon utilise plusieurs techniques pour échapper à la détection par le logiciel de sécurité. Ces tactiques incluent des vérifications anti-émulation pour déterminer si l'appareil est enraciné et si le débogage a été activé. Si la menace détecte qu'elle s'exécute dans l'environnement d'un analyste, elle peut interrompre complètement le processus d'infection pour éviter d'être détectée.
S'il détermine que l'environnement est sûr, Chameleon procède à sa programmation malveillante et invite la victime à l'autoriser à utiliser le service d'accessibilité. Cette autorisation est ensuite exploitée par la menace pour s'accorder des privilèges supplémentaires, désactiver Google Play Protect et empêcher la victime de désinstaller le cheval de Troie.
Les attaquants peuvent effectuer diverses activités menaçantes via le logiciel malveillant Chameleon Mobile
Lors de l'établissement d'une connexion avec le serveur Command and Control (C2), le logiciel malveillant Chameleon initie la communication en envoyant la version, le modèle, l'état racine, le pays et l'emplacement précis de l'appareil. On pense qu'il s'agit d'une tentative de dresser le profil de la nouvelle infection et d'adapter ses activités en conséquence.
Par la suite, selon l'entité dont le malware se fait passer, il ouvre une URL légitime dans une WebView et commence le chargement des modules malveillants en arrière-plan. Ces modules incluent un voleur de cookies, un enregistreur de frappe, un injecteur de page de phishing, un code PIN/modèle d'écran de verrouillage et un voleur de SMS. Ce dernier est particulièrement préoccupant car il peut extraire des mots de passe à usage unique, permettant ainsi aux attaquants de contourner les protections d'authentification à deux facteurs.
Pour mener à bien ses activités de collecte de données, le logiciel malveillant Chameleon s'appuie sur l'utilisation abusive des services d'accessibilité. Cela permet au logiciel malveillant de surveiller le contenu de l'écran, de détecter des événements spécifiques, de modifier des éléments d'interface et d'envoyer les appels d'API nécessaires selon les besoins.
Le logiciel malveillant Chameleon Mobile établit la persistance sur les appareils infectés
En plus de ses activités de collecte de données, le logiciel malveillant Chameleon exploite également les services d'accessibilité pour empêcher la suppression de l'application non sécurisée. Pour ce faire, il surveille les tentatives de désinstallation de la victime et supprime les variables de préférences partagées associées au logiciel malveillant. Cela donne l'impression que l'application a été désinstallée alors qu'en fait, elle reste sur l'appareil.
De plus, la société de cybersécurité Cyble a découvert un code dans Chameleon qui lui permet de télécharger une charge utile pendant l'exécution et de l'enregistrer sur l'appareil hôte sous la forme d'un fichier ".jar". Ce fichier est destiné à être exécuté ultérieurement via DexClassLoader. Cependant, cette fonctionnalité ne semble pas être actuellement utilisée par le logiciel malveillant.
