Банковский троян Chameleon для Android снова начал распространяться в глобальной сети. В рамках новой версии он применяет нестандартную технику для захвата управления над пользовательскими устройствами, что включает в себя отключение разблокировки по лицу или отпечаткам пальцев, сообщило издание Bleeping Computer.
По словам экспертов по информационной безопасности, троян для отключения биометрической разблокировки использует трюк с HTML-страницей для получения доступа к службе специальных возможностей. Кроме того, он применяет методы нарушения биометрических операций для кражи PIN-кодов и разблокировки устройства по своему усмотрению.
Более ранние версии трояна Chameleon, обнаруженные в апреле этого года, выдавали себя за правительственные учреждения Австралии, банки и криптовалютную биржу CoinSpot. Они выполняли функции кейлоггера, внедрения оверлеев, кражи файлов Cookie и SMS на взломанных устройствах.
Исследователи из ThreatFabric, следившие за вредоносным ПО, сообщают, что в настоящее время оно распространяется через сервис Zombinder. Zombinder “приклеивает” вредоносное ПО к законным приложениям Android. Это позволяет жертвам пользоваться полной функциональностью приложения, которое они намеревались установить, даже не подозревая о том, что опасный код выполняется в фоновом режиме.
В ThreatFabric утверждают, что вредоносные пакеты Chameleon не обнаруживаются во время выполнения приложения. Они обходят оповещения Google Protect и не замечаются антивирусными продуктами, работающими на зараженном устройстве.
Первая новая функция, замеченная в последнем варианте Chameleon, — это возможность отображать HTML-страницу на устройствах, работающих на Android 13 и более поздних версиях. Она предлагает жертвам дать приложению разрешение на использование службы специальных возможностей, минуя защиту системы.
Когда Chameleon обнаруживает Android 13 или 14 при запуске, он загружает HTML-страницу. Она помогает пользователю вручную включить специальные возможности для приложения, минуя защиту системы.
Вторая примечательная новая функция — это возможность прерывать биометрические операции на устройстве, то есть разблокировку по отпечатку пальца и лицу, с помощью службы специальных возможностей для принудительного возврата к аутентификации по PIN-коду или паролю.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
