Исследователи обнаружили новую версию банковского трояна Chameleon, который заражает Android-устройства. Для распространения этого трояна используется даркнет-платформа Zombinder, которая помогает создателям вредоносного ПО «прицеплять» их к легитимным приложениям. В случае Chameleon в роли такого приложения выступает браузер Google Chrome.
Chameleon использует функцию Android «Специальные возможности» (Accessibility), которая позволяет ему становиться посредником между пользователем и приложениями: отслеживать действия в системе, нажимать кнопки, менять настройки, перехватывать и вводить данные в полях ввода и т.д.
Чтобы получить доступ к «Специальным возможностям», при установке Chameleon показывает жертве подробную инструкцию, как же ими его наделить. Интересно, что создатели также учли появившуюся в Android 13 защиту от подобных действий — «Настройки с ограниченным доступом» (Restricted settings). Они препятствуют доступу приложений, загруженных не из магазина, к Accessibility. Поэтому для Android версий 13 или 14 троян выводит более подробную инструкцию, которая объясняет, как обойти ограничения.
Одна из самых интересных особенностей Chameleon: с помощью «Специальных возможностей» троян отключает разблокировку смартфона отпечатком пальца или лицом. Вместо биометрии, которую он не может перехватывать, он включает разблокировку экрана ПИН-кодом или паролем, перехватывает их, и получает возможность совершать в системе любые действия.
Эту возможность Chameleon использует, чтобы воровать деньги, притворяясь налоговыми органами, банками и криптобиржами. Он умеет перекрывать экраны соответствующих приложений поддельными, собирать введенные данные, воровать куки-файлы и перехватывать SMS.
Как защититься? Всё как обычно:
- Не устанавливайте приложения из опасных источников.
- Не давайте им разрешение на доступ к «Специальным возможностям».
- Если всё же устанавливаете — сначала поверьте приложение антивирусом.
