Un nouveau cheval de Troie Android appelé « Chameleon » cible les utilisateurs en Australie et en Pologne depuis le début de l’année, imitant l’échange de crypto-monnaie CoinSpot, une agence gouvernementale australienne et la banque IKO.
Le malware mobile a été découvert par la société de cybersécurité Cyble, qui signale une distribution via des sites Web compromis, des pièces jointes Discord et des services d’hébergement Bitbucket.
Chameleon inclut un large éventail de fonctionnalités malveillantes, notamment le vol d’informations d’identification de l’utilisateur via des injections de superposition et l’enregistrement de frappe, des cookies et des SMS depuis l’appareil infecté.
Un focus sur l’évasion
Lors de son lancement, le logiciel malveillant effectue diverses vérifications pour échapper à la détection par les logiciels de sécurité.
Ces contrôles incluent des contrôles anti-émulation pour détecter si l’appareil est enraciné et si le débogage est activé, ce qui augmente la probabilité que l’application s’exécute dans l’environnement d’un analyste.
Si l’environnement semble propre, l’infection se poursuit et Chameleon demande à la victime de lui permettre d’utiliser le service d’accessibilité, dont elle abuse pour s’accorder des autorisations supplémentaires, désactiver Google Play Protect et empêcher l’utilisateur de le désinstaller.
Lors de la première connexion avec le C2, Chameleon envoie la version de l’appareil, le modèle, l’état racine, le pays et l’emplacement précis, probablement pour profiler la nouvelle infection.
Ensuite, selon l’entité dont le malware se fait passer, il ouvre son URL légitime dans une WebView et commence à charger des modules malveillants en arrière-plan.
Il s’agit notamment d’un voleur de cookies, d’un enregistreur de frappe, d’un injecteur de pages de phishing, d’un code PIN/modèle d’écran de verrouillage et d’un voleur de SMS qui peut arracher des mots de passe à usage unique et aider les attaquants à contourner les protections 2FA.
La plupart de ces systèmes de vol de données s’appuient sur l’abus des services d’accessibilité pour fonctionner selon les besoins, permettant au logiciel malveillant de surveiller le contenu de l’écran, de surveiller des événements spécifiques, d’intervenir pour modifier des éléments d’interface ou d’envoyer certains appels d’API selon les besoins.
Le même service système est également utilisé abusivement pour empêcher la désinstallation du logiciel malveillant, en identifiant le moment où la victime tente de supprimer l’application malveillante et en supprimant ses variables de préférence partagées pour le faire apparaître comme s’il n’était plus présent dans l’appareil.
L’effacement des fichiers de préférences partagés oblige l’application à rétablir les communications avec le C2 lors de son prochain lancement, mais empêche sa désinstallation et rend l’analyse plus difficile pour les chercheurs.
Cyble a également observé un code qui permet à Chameleon de télécharger une charge utile pendant l’exécution et de l’enregistrer sur l’hôte en tant que fichier « .jar », à exécuter ultérieurement via DexClassLoader. Cependant, cette fonctionnalité est actuellement inutilisée.
Chameleon est une menace émergente qui pourrait ajouter plus de fonctionnalités et de capacités dans les futures versions.
Les utilisateurs d’Android sont invités à être prudents avec les applications qu’ils installent sur leurs appareils, à ne télécharger que des logiciels à partir de magasins officiels et à s’assurer que Google Play Protect est toujours activé.