Chameleon Malware IOCs

Cyble Research & Intelligence Labs (CRIL) обнаружила новый банковский троянец для Android, который мы называем "Хамелеон", основываясь на командах, используемых вредоносной программой, в основном из-за того, что вредоносная программа кажется новым штаммом и не связана ни с одним из известных семейств троянцев. Троянец активен с января 2023 года и, по наблюдениям, нацелен на пользователей из Австралии и Польши.

Chameleon Malware

Банковский троянец Chameleon использует службу Accessibility Service для выполнения вредоносных действий, как и другие банковские троянцы. Вредоносная программа выдает себя за популярное криптовалютное приложение CoinSpot, правительственное агентство Австралии и банк IKO из Польши.

В январе 2023 года троянец был замечен в использовании иконок различных программ, таких как ChatGPT, Chrome, Bitcoin и т.д., для заражения пользователей Android, как показано на изображении ниже.

Вредоносные приложения Chameleon распространяются через скомпрометированные веб-сайты, вложения Discord и хостинг Bitbucket. Известно, что для распространения вредоносной программы используются следующие URL-адреса:

• hxxps://www[.]renatsoft.com[.]br/CoinSpot[.]apk
• hxxps://bitbucket[.]org/leaanner173/3/downloads/ATO.apk
• hxxps://cdn.discordapp[.]com/attachments/1056744010670145596/1057757995200696391/Crypto_Collector[.]apk
• hxxps://cdn.discordapp[.]com/attachments/1051452726615216201/1056574187218681936/LTC_GiveAway[.]apk
• hxxps://cdn[.]discordapp.com/attachments/1056744010670145596/1057757994584117338/BCH_Cash[.]apk
• hxxps://bitbucket[.]org/emmon11/download/downloads/AdultFriendFinderApp[.]apk

Банковский троянец Chameleon обладает следующими возможностями:

• Keylogging
• Оверлейная атака
• Сбор SMS-сообщений
• Предотвращение деинсталляции
• Кража куки
• Захват блокировки
• Техника антиэмуляции
• Автоматическая деинсталляция
• Отключение Google Play Protect

Банковский троянец Chameleon находится на ранней стадии разработки и имеет ограниченные возможности. Его основной способ кражи учетных данных пользователей - инъекции и перехват клавиатуры. Однако не исключено, что в будущем во вредоносную программу будут добавлены новые функции.

Indicators of Compromise

URLs

• http://146.70.41.143:7242

MD5

• 15243aa12a4e37db66278c16b50ee60d
• 2b33d114fb8f3bd7065b46889afc1c44
• 36b8c9f74c5fc5c1c4eae1d6efadab37
• 382e4022f901ebc2fa15a168a8dc5a20
• 8cc3a9caed337dca0db40fb02db40fd9
• 9f2b9c10e2d24e15da443d3c607edc0f
• b8019c6df196812517c445f802143d08

SHA1

• 169bac058fe715dcee0625fe7e968396423800c9
• 26f9e235d2460d453671dfe96cc559e0cfcc159a
• 4efe3b31836f9a319a8ad9fcfe1f0502b94a8c8f
• 53d25f56db36e0f1bd802209d6b745e2e9e9e8ef
• 59c6ef85e25b688d8000e697ad2f3f7420dc7820
• 7c7261c6c046410af097ddb4ada7007ada78d51e
• a8afa19a4aa30b144387101a58e7f52335f24eeb

SHA256

• 141e37754fa555e45eabe99ee7c854ab2d9f8b8ad89a73376f72c703602e3d17
• 153410238d01773e5c705c6d18955793bd61cb2e82c5c7656e74563bb43b3ffa
• 55884b3b0018b42e500c8ca427d8ae3b3174d9efca5aa57b34eb9202cb84913a
• 60b0e7e09fe91aa785b85315aad3850e7f47f70a5aab7ae9ef31ad1c50477f55
• be125a98ba01f1bd318271b5de8114da139e5f78449ab3eb69c5aa4934026aed
• cb507f6a2406274b56150f56bb7ef7cfd88f79600768f25b4a7d5441ec987835
• ef0785dcdfe4fff99dc79bd89f1d1c2b207e67cb8fe6940127dd655ec202a770