安全研究人员发现了ChameleonAndroid恶意软件的新变种,这是一种自2023年初以来一直在传播的银行木马。最新变种具有额外的功能,可以对受害者造成更大的损害。该恶意软件还采用新策略来避免被发现。
ChameleonAndroid恶意软件带着新功能重新出现
ChameleonAndroid恶意软件于今年1月首次被发现。据网络安全公司ThreatFabric报道,该木马的目标用户是澳大利亚和波兰。它冒充澳大利亚政府机构、银行和CoinSpot加密货币交易所来欺骗毫无戒心的用户。一旦在受感染的设备中活跃,恶意软件就可以执行键盘记录、覆盖注入、cookie盗窃和SMS盗窃等操作。
该公司预计该木马会出现更强大的变体,现在它已经出现。新版本已经在意大利和英国投入使用。该恶意软件背后的恶意分子正在通过冒充GoogleChrome的Zombinder服务进行分发。该服务将恶意软件干净地附加到正版Android应用程序中,甚至可以绕过GoogleProtect警报和防病毒软件。
该应用程序还提供与原始无恶意软件版本相同的功能。这意味着用户没有理由怀疑他们的应用程序有任何问题。然而,在幕后,该木马可以执行多种恶意功能,从而对它们造成严重损害。凭借其新功能,其造成的损害可能比ChameleonAndroid恶意软件的原始变种造成的伤害更大。
该网络安全公司报告称,该木马可以动态响应设备的操作系统版本。在运行Android13及更高版本(具有更严格的应用程序权限)的设备上,它会显示HTML页面并提示用户启用辅助功能服务。实际上,它绕过系统限制来获得额外的特权,并滥用这些特权来窃取屏幕上显示的信息。
它还可以绕过生物识别身份验证
更新后的Chameleon恶意软件的另一个新功能是能够绕过生物识别提示。它利用辅助功能服务强制用户进行PIN、模式或密码身份验证。由于攻击者无法访问指纹和面部解锁等生物识别技术,因此这种策略使他们能够通过键盘记录窃取用户的PIN、图案或密码。然后他们可以随时远程解锁设备并执行恶意活动。
新的Chameleon变体还可以使用AlarmManagerAPI执行任务调度。虽然任务调度在特洛伊木马中很常见,但此特定变体采用动态方法。ChameleonAndroid恶意软件可以检测辅助功能是否启用或禁用,并进行相应调整。这些功能使恶意软件能够确定启动覆盖或注入活动的最佳时机。
ThreatFabric安全专家警告称:“这些增强功能提高了新Chameleon变种的复杂性和适应性,使其成为不断发展的移动银行木马领域中更强大的威胁。”阻止恶意软件的最佳方法是避免安装来自未知来源的应用程序(APK文件)。您应该始终从受信任的平台(例如GooglePlay商店)下载应用程序。