Groźny trojan bankowy Chameleon (pol. kameleon) doczekał się ulepszonej wersji – alarmują badacze z ThreatFabric. Podszywając się pod znane aplikacje, szkodnik potrafi całkowicie przejąć kontrolę nad zainfekowanym smartfonem. Radzi sobie też z biometrią.
Jeśli jeszcze nie słyszeliście o trojanie Chameleon, to najwyższa pora, aby braki wiedzy nadrobić. Malware ten, udokumentowany po raz pierwszy w kwietniu 2023 roku, jak ustalono, atakuje telefony z Androidem i nadużywa ułatwień dostępu w celu gromadzenia poufnych danych i wykonywania ataków nakładkowych. Co jednak najistotniejsze z naszego punktu widzenia, wedle przedstawionych ustaleń bywał używany także w Polsce – a teraz okazuje się, że to nie koniec złych informacji.
Chameleon doczekał się nowej, jeszcze groźniejszej wersji – donoszą badacze z ThreatFabric. Zaktualizowany trojan już nie tylko gromadzi dane, ale potrafi przejąć kontrolę nad smartfonem w pełnym tego słowa znaczeniu, umożliwiając przestępcom uzyskanie wykonanie dowolnej czynności w imieniu ofiary. Rzecz jasna, obejmuje to również inicjowanie operacji bankowych.
Trojan jest w dodatku niezwykle sprytny. Jeśli wykryje system Android 13 lub nowszy, wyświetla stronę internetową z instrukcjami, jak wyłączyć dodatkową warstwę zabezpieczeń w tych OS-ach. Co więcej, radzi sobie również z biometrią. Jak podano, nowy Chameleon potrafi przechwycić kod blokady i dzięki ułatwieniom dostępu, korzystać z niego w sytuacjach wymuszających przeprowadzenie dodatkowej autoryzacji.
Jakby tego było mało, zdradliwy jest nawet sam sposób dystrybucji malware'u. Jak podano, nowy Chameleon dostarczany jest jako czarnorynkowa usługa, w ramach której chętni mogą za odpowiednią opłatą dodać szkodliwy kod do dowolnej, legalnej aplikacji. Żeby nie być gołosłownym, badacze odkryli dwie zainfekowane instancje przeglądarki Google Chrome (nazwy pakietów: Z72645c414ce232f45.Z35aad4dde2ff09b48 oraz com.busy.lady). A dodajmy, wcześniejsze wersje trafiały m.in. do odtwarzacza GOM Player i aplikacji z wynikami sportowymi LIVE Score.
Oczywiście żadne z wymienionych narzędzi, z Chrome na czele, nie jest szkodliwe w zamyśle swych pierwotnych twórców. Niemniej nie przeszkadza to przestępcom w próbach dystrybuowania ich zmodyfikowanych wersji w Sklepie Play. Szacuje się, że z samego tylko oficjalnego marketplace'u z aplikacjami zainfekowane oprogramowanie pobrano już ponad 100 tys. razy.
Pojawienie się nowego trojana bankowego Chameleon to kolejny przykład wyrafinowanego i adaptacyjnego krajobrazu zagrożeń w ekosystemie Androida (...) Ewoluując względem swojej wcześniejszej wersji, wariant ten wykazuje zwiększoną odporność i nowe, zaawansowane funkcje
– czytamy w raporcie ThreatFabric.
Ale co właściwie zrobić, żeby nie dać się naciąć? – zapytacie. Odpowiedź na tak postawione pytanie nie jest łatwa i przyznają to sami eksperci z ThreatFabric. Na pewno ryzyko można ograniczyć nie pobierając aplikacji spoza Sklepu Play, aczkolwiek jak już zostało wspomniane, tam Chameleon również trafić może. Zatem, kluczowe jest nie tylko to skąd, ale też co się właściwie pobiera.
Nie ukrywajmy, wiele zależy od tego jak dobrze zostanie przygotowana fałszywka. Niczym typowy scam, może mieć masę literówek w opisie, ale nie musi. Może mieć także alarmująco niską liczbę pobrań, choć i z tym przestępcy sobie radzą, sztucznie nabijając statystyki botami. Podobnie istnieją techniki fabrykowania komentarzy. Ogólnie rzecz biorąc, eksperci zalecają ogólnie pojętą czujność i zwalczenia nawyku instalowania od razu wszystkiego, co tylko wpadnie w oko.
Źródło zdjęć: Arek Bała / Telepolis
Źródło tekstu: ThreatFabric, oprac. własne
