Chameleon Malware IOCs

malware

Cyble Research & Intelligence Labs (CRIL) обнаружила новый банковский троянец для Android, который мы называем "Хамелеон", основываясь на командах, используемых вредоносной программой, в основном из-за того, что вредоносная программа кажется новым штаммом и не связана ни с одним из известных семейств троянцев. Троянец активен с января 2023 года и, по наблюдениям, нацелен на пользователей из Австралии и Польши.

Chameleon Malware

Банковский троянец Chameleon использует службу Accessibility Service для выполнения вредоносных действий, как и другие банковские троянцы. Вредоносная программа выдает себя за популярное криптовалютное приложение CoinSpot, правительственное агентство Австралии и банк IKO из Польши.

В январе 2023 года троянец был замечен в использовании иконок различных программ, таких как ChatGPT, Chrome, Bitcoin и т.д., для заражения пользователей Android, как показано на изображении ниже.

Вредоносные приложения Chameleon распространяются через скомпрометированные веб-сайты, вложения Discord и хостинг Bitbucket. Известно, что для распространения вредоносной программы используются следующие URL-адреса:

  • hxxps://www[.]renatsoft.com[.]br/CoinSpot[.]apk
  • hxxps://bitbucket[.]org/leaanner173/3/downloads/ATO.apk
  • hxxps://cdn.discordapp[.]com/attachments/1056744010670145596/1057757995200696391/Crypto_Collector[.]apk
  • hxxps://cdn.discordapp[.]com/attachments/1051452726615216201/1056574187218681936/LTC_GiveAway[.]apk
  • hxxps://cdn[.]discordapp.com/attachments/1056744010670145596/1057757994584117338/BCH_Cash[.]apk
  • hxxps://bitbucket[.]org/emmon11/download/downloads/AdultFriendFinderApp[.]apk

Банковский троянец Chameleon обладает следующими возможностями:

  • Keylogging
  • Оверлейная атака
  • Сбор SMS-сообщений
  • Предотвращение деинсталляции
  • Кража куки
  • Захват блокировки
  • Техника антиэмуляции
  • Автоматическая деинсталляция
  • Отключение Google Play Protect

Банковский троянец Chameleon находится на ранней стадии разработки и имеет ограниченные возможности. Его основной способ кражи учетных данных пользователей - инъекции и перехват клавиатуры. Однако не исключено, что в будущем во вредоносную программу будут добавлены новые функции.

Indicators of Compromise

URLs

  • http://146.70.41.143:7242

MD5

  • 15243aa12a4e37db66278c16b50ee60d
  • 2b33d114fb8f3bd7065b46889afc1c44
  • 36b8c9f74c5fc5c1c4eae1d6efadab37
  • 382e4022f901ebc2fa15a168a8dc5a20
  • 8cc3a9caed337dca0db40fb02db40fd9
  • 9f2b9c10e2d24e15da443d3c607edc0f
  • b8019c6df196812517c445f802143d08

SHA1

  • 169bac058fe715dcee0625fe7e968396423800c9
  • 26f9e235d2460d453671dfe96cc559e0cfcc159a
  • 4efe3b31836f9a319a8ad9fcfe1f0502b94a8c8f
  • 53d25f56db36e0f1bd802209d6b745e2e9e9e8ef
  • 59c6ef85e25b688d8000e697ad2f3f7420dc7820
  • 7c7261c6c046410af097ddb4ada7007ada78d51e
  • a8afa19a4aa30b144387101a58e7f52335f24eeb

SHA256

  • 141e37754fa555e45eabe99ee7c854ab2d9f8b8ad89a73376f72c703602e3d17
  • 153410238d01773e5c705c6d18955793bd61cb2e82c5c7656e74563bb43b3ffa
  • 55884b3b0018b42e500c8ca427d8ae3b3174d9efca5aa57b34eb9202cb84913a
  • 60b0e7e09fe91aa785b85315aad3850e7f47f70a5aab7ae9ef31ad1c50477f55
  • be125a98ba01f1bd318271b5de8114da139e5f78449ab3eb69c5aa4934026aed
  • cb507f6a2406274b56150f56bb7ef7cfd88f79600768f25b4a7d5441ec987835
  • ef0785dcdfe4fff99dc79bd89f1d1c2b207e67cb8fe6940127dd655ec202a770

 

Комментарии: 0