Trojan Android baru yang disebut ‘Chameleon’ telah menargetkan pengguna di Australia dan Polandia sejak awal tahun, meniru pertukaran cryptocurrency CoinSpot, lembaga pemerintah Australia, dan bank IKO.
Malware seluler ditemukan oleh perusahaan keamanan siber Cybleyang melaporkan melihat distribusi melalui situs web yang disusupi, lampiran Discord, dan layanan hosting Bitbucket.
Chameleon menyertakan berbagai fungsi berbahaya, termasuk mencuri kredensial pengguna melalui injeksi overlay dan keylogging, cookie, dan teks SMS dari perangkat yang terinfeksi.
Fokus pada penghindaran
Saat diluncurkan, malware melakukan berbagai pemeriksaan untuk menghindari deteksi oleh perangkat lunak keamanan.
Pemeriksaan ini mencakup pemeriksaan anti-emulasi untuk mendeteksi apakah perangkat telah di-root dan proses debug diaktifkan, meningkatkan kemungkinan aplikasi berjalan di lingkungan analis.
Jika lingkungan tampak bersih, infeksi berlanjut, dan Chameleon meminta korban untuk mengizinkannya menggunakan Layanan Aksesibilitas, yang disalahgunakan untuk memberikan izin tambahan, menonaktifkan Google Play Protect, dan menghentikan pengguna untuk mencopot pemasangannya.
Pada koneksi pertama dengan C2, Chameleon mengirimkan versi perangkat, model, status root, negara, dan lokasi persisnya, kemungkinan untuk profil infeksi baru.
Selanjutnya, bergantung pada entitas apa yang ditiru oleh malware, ia membuka URL resminya di WebView dan mulai memuat modul berbahaya di latar belakang.
Ini termasuk pencuri cookie, keylogger, injektor halaman phishing, pengambil PIN/pola layar kunci, dan pencuri SMS yang dapat merebut kata sandi satu kali dan membantu penyerang melewati perlindungan 2FA.
Sebagian besar sistem pencurian data ini bergantung pada penyalahgunaan Layanan Aksesibilitas untuk bekerja sesuai kebutuhan, memungkinkan malware untuk memantau konten layar, memantau peristiwa tertentu, mengintervensi untuk mengubah elemen antarmuka, atau mengirim panggilan API tertentu sesuai kebutuhan.
Layanan sistem yang sama juga disalahgunakan untuk mencegah pencopotan malware, mengidentifikasi saat korban mencoba menghapus aplikasi jahat dan menghapus variabel preferensi bersama agar tampak seolah-olah tidak lagi ada di perangkat.
Penghapusan file preferensi bersama memaksa aplikasi untuk membangun kembali komunikasi dengan C2 saat diluncurkan berikutnya, tetapi mencegah pencopotannya dan mempersulit peneliti untuk menganalisis.
Cyble juga mengamati kode yang memungkinkan Chameleon mengunduh payload selama runtime dan menyimpannya di host sebagai file “.jar”, untuk dieksekusi nanti melalui DexClassLoader. Namun, fitur ini saat ini tidak digunakan.
Chameleon adalah ancaman yang muncul yang dapat menambahkan lebih banyak fitur dan kemampuan di versi mendatang.
Pengguna Android disarankan untuk berhati-hati dengan aplikasi yang dipasang di perangkat mereka, hanya mengunduh perangkat lunak dari toko resmi, dan memastikan bahwa Google Play Protect selalu diaktifkan.
