Cybersicherheitsforscher haben kürzlich eine neue Malware für Android entdeckt, die erfolgreich verschiedene Arten mobiler Anwendungen nachahmt – von Banking-Apps über Krypto-Exchange-Apps bis hin zu Regierungs-Apps.
Chameleon wurde von Forschern von Cyble entdeckt, die beobachteten, wie Hacker die Malware über kompromittierte Websites, Discord-Kanäle und Bitbucket-Hosting-Dienste verbreiteten.
Das Tool verfügt über eine Reihe verschiedener Funktionalitäten, die alle auf Informationsdiebstahl hinauslaufen.
Profilierung des Ziels
Nach dem Herunterladen analysiert die Malware zunächst das Gerät, um festzustellen, ob es sich in einem Honeypot befindet. Es wird das Telefon scannen, um zu sehen, ob es gerootet ist und ob Debugging aktiviert ist, da dies übliche Signale der Umgebung eines Analysten sind. Sobald dieser Test bestanden ist, wird nach Berechtigungen für den Accessibility Service gefragt – was ein großes Warnsignal ist. Es ist normalerweise Malware, die um diese Art von Erlaubnis bittet, da sie es erlaubt, zügellos über den Endpunkt zu laufen.
Der nächste Schritt besteht darin, eine Verbindung mit seinem Command & Control (C2)-Server herzustellen und die grundlegenden Geräteinformationen zu senden: Version, Modell, Root-Status, Land und genauer Standort. Danach beginnt es, verschiedene bösartige Module auf das Gerät zu laden, darunter einen Cookie-Stealer, einen Keylogger, einen Phishing-Seiten-Injektor, einen Grabber für PIN-Codes und Muster und einen SMS-Stealer. Diese Module ermöglichen es der Malware, Passwörter und Multi-Faktor-Authentifizierungscodes abzugreifen, die später für Identitätsdiebstahl verwendet werden können (öffnet in neuem Tab).
Während all dies nach viel klingen mag, fügen Forscher hinzu, dass Chameleon eine aufkommende Bedrohung ist und als solche in den kommenden Wochen wahrscheinlich zusätzliche Funktionen erhalten wird.
Um auf der sicheren Seite zu sein, sollten Android-Benutzer zunächst sicherstellen, dass sie keine Apps aus verdächtigen Quellen herunterladen und stattdessen Apps nur aus offiziellen Stores herunterladen. Darüber hinaus sollten sie Google Play Protect als erste Verteidigungslinie aktivieren. Ein Android-Antivirenprogramm würde auch nicht schaden.
Über: Piepender Computer (öffnet in neuem Tab)