近日，網(wǎng)絡(luò)安全公司 Cyble 發(fā)現(xiàn)一種名為 Chameleon（“變色龍”）的新安卓惡意軟件冒充澳大利亞政府機(jī)構(gòu) CoinSpot 加密貨幣交易所和 IKO 銀行，通過(guò)受損網(wǎng)站、Discord 附件和 Bitbucket 托管服務(wù)進(jìn)行分發(fā)，對(duì)澳大利亞和波蘭的用戶展開(kāi)網(wǎng)絡(luò)攻擊。

Cyble 的安全研究人員表示 Chameleon 主要通過(guò)疊加注入和密鑰記錄、cookie 和受感染設(shè)備的短信竊取用戶憑據(jù)。

能夠逃避安全軟件檢查

該惡意軟件有很強(qiáng)的逃避安全檢查能力，一旦啟動(dòng)后會(huì)立即執(zhí)行各種“檢查”，以逃避安全軟件的檢測(cè)。（據(jù)悉，“檢查”主要包括反仿真檢查，以檢測(cè)設(shè)備是否已扎根并激活調(diào)試，從而增加惡意軟件應(yīng)用程序在系統(tǒng)安全環(huán)境中運(yùn)行的可能性。）

如果檢查結(jié)果顯示受害系統(tǒng)環(huán)境很“干凈”，Chameleon 就會(huì)請(qǐng)求受害者允許其使用無(wú)障礙服務(wù)，并濫用該服務(wù)授予自身額外的權(quán)限，以期禁用 Google Play Protect。

請(qǐng)求允許使用無(wú)障礙服務(wù)（Cyble)

在與 C2 第一次連接時(shí)， 為了解最新的感染情況，Chameleon 灰發(fā)送設(shè)備版本、型號(hào)、根狀態(tài)、國(guó)家和精確位置。接下來(lái)，根據(jù)惡意軟件模擬的實(shí)體，它會(huì)在 WebView 中打開(kāi)其合法 URL，并開(kāi)始在后臺(tái)加載惡意模塊。

值得一提的事，這些模塊包括一個(gè) cookie 竊取器、一個(gè)鍵盤記錄器、一個(gè)網(wǎng)絡(luò)釣魚頁(yè)面注射器、一個(gè)鎖屏 PIN/模式抓取器，以及一個(gè)可以竊取一次性密碼并幫助攻擊者繞過(guò) 2FA 保護(hù)的短信竊取器。

短信攔截（Cyble）

研究人員分析后發(fā)現(xiàn)上述惡意模塊大多依賴可訪問(wèn)性服務(wù)濫用來(lái)按需工作，從而使 Chameleon 惡意軟件能夠監(jiān)控屏幕內(nèi)容、監(jiān)控特定事件、進(jìn)行干預(yù)以修改界面元素，或根據(jù)需要發(fā)送某些 API 調(diào)用。

濫用無(wú)障礙服務(wù)來(lái)檢索鎖屏密碼（Cyble）

一部分惡意模塊被用于阻止惡意軟件的卸載，識(shí)別受害者何時(shí)試圖刪除惡意應(yīng)用程序，并刪除其共享的首選項(xiàng)變量，使其看起來(lái)好像不再存在于設(shè)備中。

自動(dòng)刪除共享首選項(xiàng)變量（Cyble）

共享的首選項(xiàng)變量的擦除使得 Chameleon 惡意應(yīng)用程序在下次啟動(dòng)時(shí)重新建立與 C2 的通信，但阻止了其卸載，并使研究人員更難進(jìn)行分析。

Cyble 還觀察到一些代碼，這些代碼使 Chameleon 能夠在運(yùn)行時(shí)下載有效負(fù)載，并將其保存在主機(jī)上作為“.jar”文件，稍后通過(guò) DexClassLoader 執(zhí)行，但此功能目前尚未使用。

下載額外有效載荷的代碼(Cyble)

Chameleon 作為一種新興惡意軟件威脅，可能會(huì)在未來(lái)的版本中增加更多的功能，因此網(wǎng)絡(luò)安全專家建議安卓用戶保持謹(jǐn)慎安裝應(yīng)用程序，只從官方商店下載軟件，并確保其設(shè)備始終啟用了Google Play Protect。