安全公司Threat Fabric的研究人員在一篇博文中透露,他們發現了Android木馬Chameleon(變色龍)的一個更新穎、更復雜的版本,這個新變種擁有新的裝置接管能力,以及繞過生物識別認證的能力。
ThreatFabric報告稱,Chameleon木馬透過暗網的一個Zombinder應用共享服務來偽裝成谷歌Chrome應用程式傳播。Zombinder會將惡意軟體“粘合”到合法的安卓應用程式上,使得受害者能夠正常使用他們打算安裝的應用程式的全部功能,以避免受害者懷疑危險程式碼在後臺執行。Zombinder服務宣稱其惡意捆綁包在執行時無法被檢測到,能夠繞過谷歌的安全警報,並且能夠躲避受感染裝置上執行的任何反病毒產品。
研究報告中寫道,Chameleon木馬變種新增了幾個危險的特性,比如,它能夠中斷目標裝置上的生物識別操作(例如指紋、人臉識別),強制將其切換到PIN碼或圖案驗證,使其為木馬所捕獲,後續木馬可以使用這些資訊來解鎖裝置。
Chameleon木馬其中一個關鍵的新功能是能夠在執行Android 13及更高版本的裝置上顯示HTML頁面。Android 13及更高版本受到一項名為“受限設定”的安全功能的保護,該功能阻止了危險許可權(如無障礙許可權)的批准(惡意軟體可以利用這些許可權來竊取螢幕內容、授予自身額外的許可權並執行導航手勢)。而當Chameleon木馬在啟動時檢測到Android 13或14,它會載入一個HTML頁面,引導使用者為應用程式啟用無障礙許可權,繞過系統的保護。
另外,Chameleon木馬還透過AlarmManager API新增了任務排程功能,以管理活動時間以及定義活動型別。根據無障礙服務是啟用還是禁用,該惡意軟體會適應性地發起覆蓋攻擊或收集資料,以決定注入的最佳時機。
ThreatFabric警告說,這些增強功能提升了Chameleon新變種的複雜性和適應性,為減少此類風險,應避免從非官方來源獲取APK(安卓包檔案)——這也正是木馬程式的主要傳播方式。
編輯:左右裡
資訊來源:threatfabric
轉載請註明出處和本文連結