Найти в Дзене
Записки АйТишника

Эксперты обнаружили новый способ распространения банковского трояна Chameleon для Android через поддельное CRM-приложение

1
1 мин
Специалисты компании ThreatFabric обнаружили новую технику, которую используют хакеры при атаках с использованием банковского трояна Chameleon для Android. Этот вредоносный код распространяется под видом популярного мобильного приложения для управления взаимоотношениями с клиентами (CRM). В техническом отчете, опубликованном голландской компанией по кибербезопасности ThreatFabric, говорится о том, что "было замечено, что Chameleon маскировался под CRM-приложение и атаковал канадскую сеть ресторанов, работающую на международном уровне". По словам экспертов по информационной безопасности, соответствующую киберпреступную операцию они выявили в июле 2024 года. Хакеры нацеливались преимущественно на пользователей из Северной Америки и Европы, при этом атакованные частные лица и компании были замечены в Австралии, Польше, Италии и Великобритании. Компания ThreatFabric также отмечает, что использование тематики, связанной с CRM, для вредоносных приложений-дропперов, содержащих вредоносное ПО,
Изображение: Alvaro Reyes (unsplash)
Изображение: Alvaro Reyes (unsplash)

Специалисты компании ThreatFabric обнаружили новую технику, которую используют хакеры при атаках с использованием банковского трояна Chameleon для Android. Этот вредоносный код распространяется под видом популярного мобильного приложения для управления взаимоотношениями с клиентами (CRM).

В техническом отчете, опубликованном голландской компанией по кибербезопасности ThreatFabric, говорится о том, что "было замечено, что Chameleon маскировался под CRM-приложение и атаковал канадскую сеть ресторанов, работающую на международном уровне".

По словам экспертов по информационной безопасности, соответствующую киберпреступную операцию они выявили в июле 2024 года. Хакеры нацеливались преимущественно на пользователей из Северной Америки и Европы, при этом атакованные частные лица и компании были замечены в Австралии, Польше, Италии и Великобритании.

Компания ThreatFabric также отмечает, что использование тематики, связанной с CRM, для вредоносных приложений-дропперов, содержащих вредоносное ПО, указывает на то, что целями являются клиенты в сфере гостеприимства и сотрудники сферы B2C.

Артефакты Chameleon предназначены для обхода ограниченных настроек, введенных Google в Android 13 и более поздних версиях, чтобы предотвратить запрос сторонних приложений на опасные разрешения (например, службы специальных возможностей), метод, ранее применявшийся SecuriDroper и Brokewell.

После установки приложение отображает поддельную страницу входа в CRM-инструмент, а затем выводит поддельное сообщение об ошибке, призывающее жертв переустановить приложение. На самом деле, оно развертывает полезную нагрузку Chameleon.

За этим шагом следует повторная загрузка фальшивой веб-страницы CRM, на этот раз с просьбой завершить процесс входа в систему, но затем отображается другое сообщение об ошибке: "Ваша учетная запись еще не активирована. Обратитесь в отдел кадров".

Эксперты предупреждают пользователей быть осторожными при скачивании и установке приложений, особенно если они запрашивают подозрительно много разрешений или представляют собой новые и малоизвестные программы.