Zloglasni malver Chameleon se vratio i sada inficira Android uređaje u Evropi i Kanadi

Mobilni telefoni, 07.08.2024, 11:00 AM

Zloglasni malver Chameleon vratio se maskiran u CRM (Customer Relationship Management) aplikaciju.

Chameleon se vratio sa novom kampanjom koja cilja internacionalni lanac restorana, fokusirajući se na evropske i kanadske regione.

Malver su prvi primetili analitičari Mobile Threat Intelligence u Threat Fabricu. Trojanac koji preuzima uređaje ovog puta se maskira kao CRM aplikacija za restorane i cilja ugostiteljske radnike i zaposlene u maloprodajami. U izveštaju Threat Fabrica se ne navodi koji je lanac restorana bio meta kampanje malvera, ali je otkriveno da je u pitanju kanadski lanac restorana sa objektima u Kanadi i Evropi. Međutim, istraživači upozoravaju na moguće proširenje liste ciljeva.

„Ako napadači uspeju da zaraze uređaj sa pristupom korporativnom bankarstvu, Chameleon će dobiti pristup poslovnim bankarskim računima i predstavljati značajan rizik za organizaciju”, kažu istraživači. „Povećana verovatnoća takvog pristupa za zaposlene čije uloge uključuju CRM je verovatan razlog za izbor maskiranja u CRM aplikaciju tokom ove najnovije kampanje.”

Dropper koji preuzima Chameleon može da zaobiđe ograničenja za Android 13+ i da se instalira na korisnikov uređaj.

Kada se učita, dropper prikazuje lažnu stranicu koja se predstavlja kao stranica za prijavu na CRM, zahtevajući ID zaposlenog. Kada zaposleni unese ID, pojavljuje se poruka koja traži da se ponovo instalira aplikacija dok se zapravo instalira Chameleon.

Nakon instalacije, lažni veb sajt se učitava, ponovo tražeći kredencijale zaposlenog. Pošto Chameleon već radi u pozadini, on takođe može da prikuplja ove podatke i druge osetljive informacije koristeći keylogging. Takve informacije se mogu koristiti u daljim napadima, ili ih napadači mogu unovčiti prodajom na forumima sajber podzemlja.

Otkriven u decembru 2022. godine, trojanac Chameleon se pojavio kao značajna pretnja koja cilja Android ekosistem, u to vreme sa fokusom na korisnike u Australiji i Poljskoj.

Malver omogućava napadačima da zaobiđu biometrijsku zaštitu i ukradu PIN-ove i podatke. On može da imitira legitimne aplikacije i prevari korisnike da im daju dozvolu. Kada ima pristup uređaju, može da nadgleda njegovu aktivnost i presreće kredencijale.

Kao deo rastuće aktivnosti Chameleona, Mobile Threat Intelligence je takođe primetio napade na klijente određenih finansijskih organizacija. U ovim slučajevima malver se maskirao kao bezbednosna aplikacija koja instalira bezbednosni sertifikat koji je izdala banka.

„Uz sve veći broj bankarskih proizvoda za preduzeća (posebno mala i srednja) i pogodnost njihove dostupnosti preko mobilnih uređaja, možemo očekivati da će sajber kriminalci dalje istraživati pristup ciljanja takvih mobilnih uređaja i njihovih korisnika”, upozoravaju analitičari Threat Fabrica. „Finansijske organizacije mogu preduzeti preventivne korake i edukovati poslovne klijente o mogućem uticaju malvera za mobilno bankarstvo kao što je Chameleon i posledicama koje donosi instaliranje na mobilni uređaj sa pristupom poslovnim bankarskim računima.”

Foto: Simon Rizzi | Pexels