Cyble Research & Intelligence Labs (CRIL) обнаружила новый банковский троянец для Android, который мы называем "Хамелеон", основываясь на командах, используемых вредоносной программой, в основном из-за того, что вредоносная программа кажется новым штаммом и не связана ни с одним из известных семейств троянцев. Троянец активен с января 2023 года и, по наблюдениям, нацелен на пользователей из Австралии и Польши.
Chameleon Malware
Банковский троянец Chameleon использует службу Accessibility Service для выполнения вредоносных действий, как и другие банковские троянцы. Вредоносная программа выдает себя за популярное криптовалютное приложение CoinSpot, правительственное агентство Австралии и банк IKO из Польши.
В январе 2023 года троянец был замечен в использовании иконок различных программ, таких как ChatGPT, Chrome, Bitcoin и т.д., для заражения пользователей Android, как показано на изображении ниже.
Вредоносные приложения Chameleon распространяются через скомпрометированные веб-сайты, вложения Discord и хостинг Bitbucket. Известно, что для распространения вредоносной программы используются следующие URL-адреса:
- hxxps://www[.]renatsoft.com[.]br/CoinSpot[.]apk
- hxxps://bitbucket[.]org/leaanner173/3/downloads/ATO.apk
- hxxps://cdn.discordapp[.]com/attachments/1056744010670145596/1057757995200696391/Crypto_Collector[.]apk
- hxxps://cdn.discordapp[.]com/attachments/1051452726615216201/1056574187218681936/LTC_GiveAway[.]apk
- hxxps://cdn[.]discordapp.com/attachments/1056744010670145596/1057757994584117338/BCH_Cash[.]apk
- hxxps://bitbucket[.]org/emmon11/download/downloads/AdultFriendFinderApp[.]apk
Банковский троянец Chameleon обладает следующими возможностями:
- Keylogging
- Оверлейная атака
- Сбор SMS-сообщений
- Предотвращение деинсталляции
- Кража куки
- Захват блокировки
- Техника антиэмуляции
- Автоматическая деинсталляция
- Отключение Google Play Protect
Банковский троянец Chameleon находится на ранней стадии разработки и имеет ограниченные возможности. Его основной способ кражи учетных данных пользователей - инъекции и перехват клавиатуры. Однако не исключено, что в будущем во вредоносную программу будут добавлены новые функции.
Indicators of Compromise
URLs
- http://146.70.41.143:7242
MD5
- 15243aa12a4e37db66278c16b50ee60d
- 2b33d114fb8f3bd7065b46889afc1c44
- 36b8c9f74c5fc5c1c4eae1d6efadab37
- 382e4022f901ebc2fa15a168a8dc5a20
- 8cc3a9caed337dca0db40fb02db40fd9
- 9f2b9c10e2d24e15da443d3c607edc0f
- b8019c6df196812517c445f802143d08
SHA1
- 169bac058fe715dcee0625fe7e968396423800c9
- 26f9e235d2460d453671dfe96cc559e0cfcc159a
- 4efe3b31836f9a319a8ad9fcfe1f0502b94a8c8f
- 53d25f56db36e0f1bd802209d6b745e2e9e9e8ef
- 59c6ef85e25b688d8000e697ad2f3f7420dc7820
- 7c7261c6c046410af097ddb4ada7007ada78d51e
- a8afa19a4aa30b144387101a58e7f52335f24eeb
SHA256
- 141e37754fa555e45eabe99ee7c854ab2d9f8b8ad89a73376f72c703602e3d17
- 153410238d01773e5c705c6d18955793bd61cb2e82c5c7656e74563bb43b3ffa
- 55884b3b0018b42e500c8ca427d8ae3b3174d9efca5aa57b34eb9202cb84913a
- 60b0e7e09fe91aa785b85315aad3850e7f47f70a5aab7ae9ef31ad1c50477f55
- be125a98ba01f1bd318271b5de8114da139e5f78449ab3eb69c5aa4934026aed
- cb507f6a2406274b56150f56bb7ef7cfd88f79600768f25b4a7d5441ec987835
- ef0785dcdfe4fff99dc79bd89f1d1c2b207e67cb8fe6940127dd655ec202a770