В Discord под видом ChatGPT и Chrome раздают нового Android-трояна

В Discord под видом ChatGPT и Chrome раздают нового Android-трояна

В Discord под видом ChatGPT и Chrome раздают нового Android-трояна

Эксперты Cyble обнаружили в дикой природе новую Android-угрозу — банковского трояна, находящегося на ранней стадии разработки. Вредонос с кодовым именем Chameleon маскируется под разные легитимные приложения, а для кражи данных использует в основном оверлеи и кейлоггинг.

Проведенный в Cyble анализ не выявил признаков родства новобранца с каким-либо известным троянским семейством. Вредонос с января активно раздается с взломанных сайтов, хостинга Bitbucket и через вложения в чатах Discord.

Чтобы скрыть свои намерения, Chameleon использует иконки популярных программ: ChatGPT, Google Chrome, Bitcoin-кошелька, клиента Налоговой службы Австралии, банковского приложения IKO, широко используемого в Польше.

 

Эксперты проанализировали новейший образец зловреда, замаскированный под Android-клиент австралийской криптобиржи CoinSpot (уровень детектирования 30/65 на 14 апреля). Его C2-сервер находится в США, а набор функций обеспечивает следующие возможности:

  • кейлоггинг;
  • оверлейные атаки;
  • сбор СМС;
  • кража куки;
  • кража ключа разблокировки экрана;
  • отключение Google Play Protect;
  • противодействие запуску в эмуляторе;
  • предотвращение деинсталляции;
  • самоудаление.

При запуске троян прежде всего проводит антиотладочные и антиэмуляционные проверки, а также ищет признаки рутинга. Обнаружив угрозу раскрытия, он завершает свой процесс.

Считав данные устройства, Chameleon, как и многие другие Android-банкеры, просит жертву активировать Accessibility Service. Получив доступ, он использует спецвозможности для автоматического получения разрешений, отключения защиты Google Play, блокировки деинсталляции и т. п.

Параллельно троян в фоновом режиме отправляет на C2 основную информацию о зараженном устройстве, такую как версия, модель, наличие статуса root, страна, местоположение. После этого зловред загружает в WebView легитимную страницу CoinSpot и скрытно ворует куки.

Мониторинг и захват клавиатурного ввода обеспечивают функции editLog() и writeLog(). Результаты сохраняются в базе данных, а затем отсылаются на командный сервер. Оверлеи для целевых банковских приложений загружаются с C2 и сохраняются локально. При совершении инъекции фишинговая страница открывается в WebView.

Доступ к Accessibility Service также позволяет Chameleon украсть ключ к устройству. Вначале зловред определяет тип замка — пароль, пин-код, свайп, а затем сохраняет введенные идентификаторы в своей базе данных.

Для кражи входящих СМС банкер регистрирует экземпляр класса BroadcastReceiver. Улов передается на C2, чтобы оператор смог получить одноразовые пароли для обхода двухфакторной аутентификации (2FA).

Для автоматической деинсталляции и предотвращения попыток удаления вредонос использует переменные предпочтения (общие для всех семплов), такие как is_chameleon, app_chameleon, app_chameleon_name. Это и подсказало аналитикам название для новой Android-угрозы.

Создатели Chameleon также предусмотрели возможность загрузки дополнительного пейлоада, с сохранением в виде jar-файла и последующим запуском на исполнение. Эта функциональность пока не используется.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Российские предприятия атакованы под видом ВОЕНМЕХа — F6 винит FakeTicketer

Специалисты из департамента Threat Intelligence компании F6 обнаружили ряд признаков, указывающих на связь между кибершпионской кампанией HollowQuill и известной киберпреступной группировкой FakeTicketer.

По данным F6, атаки были направлены на российские промышленные предприятия. Хакеры использовали документ, который выглядел как официальное письмо от имени Балтийского государственного технического университета «ВОЕНМЕХ».

Однако еще в конце 2024 года активность, связанную с этой кампанией, заметили эксперты из Positive Technologies. Теперь же специалисты F6 провели дополнительное расследование и обнаружили пересечения с операциями группы FakeTicketer.

та группа, предположительно занимающаяся кибершпионажем, действует как минимум с июня 2024 года. Среди её целей — промышленные компании, госучреждения и даже спортивные чиновники.

Анализ вредоносной программы и используемой инфраструктуры показал, что в HollowQuill и у FakeTicketer используются схожие дропперы и похожие доменные имена. В частности, эксперты нашли совпадения с вредоносом Zagrebator.Dropper, который связывают с FakeTicketer:

  • Оба дроппера — LazyOneLoader и Zagrebator.Dropper — написаны на C#.
  • У них одинаковые названия иконок («faylyk»).
  • И файлы, и иконки хранятся в ресурсах программы; дропперы извлекают эти данные и записывают их с помощью одного и того же класса — BinaryWrite.
  • Код, создающий ярлыки, почти не отличается.
  • Используются файлы с названиями OneDrive*.exe и OneDrive*.lnk для маскировки активности.

Кроме того, в F6 заметили, что FakeTicketer раньше регистрировали ряд доменов с одинаковыми данными владельца. Один из таких доменов — phpsymfony[.]info. При этом в HollowQuill фигурировал домен phpsymfony[.]com — он использовался как C2-сервер для Cobalt Strike.

По мнению исследователей, эти совпадения позволяют предположить, что за кампанией HollowQuill, скорее всего, стоит группа FakeTicketer — хотя и с оговоркой, что уверенность в этом пока средняя.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru