Новый вредоносный дроппер Chameleon обходит защиту Android 13
07/08/24
Исследователи из компании ThreatFabric обнаружили новую вредоносную кампанию Chameleon, нацеленную на сотрудников гостиниц. Злоумышленники используют обманную тактику, маскируя вредоносное ПО под мобильное CRM-приложение. Об этом пишет Securitylab.
Анализ файлов, загруженных на VirusTotal, выявил доказательства целевых атак, включая упоминание канадской ресторанной сети, работающей на международном уровне. Это свидетельствует о том, что атаки направлены на конкретные организации в индустрии гостеприимства.
Используемые названия файлов указывают на целенаправленность кампании на ресторанный бизнес и, возможно, более широкий B2C-сектор. Успешное заражение устройств, имеющих доступ к корпоративным банковским счетам, даёт Chameleon контроль над бизнес-аккаунтами, что представляет значительную угрозу для организаций.
Новый тип дроппера, использованный в последней вредоносной кампании Chameleon, способен обходить защитные меры Android 13, демонстрируя критическую эволюцию возможностей злоумышленников. После активации дроппер показывает поддельный экран входа в CRM, запрашивая ID сотрудника. Затем появляется ложный запрос на переустановку приложения, в то время как на устройство незаметно устанавливается вредоносный компонент Chameleon.
Chameleon обходит усиленные меры безопасности Android 13 и более поздних версий, особенно ограничения службы специальных возможностей, создавая скрытую угрозу на устройстве жертвы. Помимо установки вредоноса, введённые на предыдущем этапе учётные данные также утекают в руки злоумышленников.
Chameleon активно работает в фоновом режиме, используя кейлоггинг для кражи любых вводимых учётных данных и прочей конфиденциальной информации, что особенно опасно на корпоративных смартфонах, используемых в гостиничной отрасли. Вся полученная таким образом информация может быть использована для последующих атак или продана на киберпреступных форумах.
Параллельно исследователи выявили, что, помимо индустрии гостеприимства, атаки Chameleon также нацелены на финансовые учреждения, где вредонос маскируется под приложение безопасности для установки поддельного сертификата. Это подчёркивает эволюцию тактик вредоносного ПО и необходимость надёжных мер противодействия.
Киберпреступники всё чаще нацеливаются на сотрудников B2C-бизнесов для получения доступа к корпоративным аккаунтам и банковским счетам через мобильные устройства. Как показывает опыт с вредоносным программным обеспечением, подобным Chameleon, рост мобильных программных продуктов для малого и среднего бизнеса создаёт всё новые и новые возможности для атак.
По данным ThreatFabric, финансовые и прочие учреждения, работающие по модели B2C, должны активно информировать своих клиентов и сотрудников о подобных угрозах, подчёркивая потенциальные последствия заражения вредоносным ПО. Внедрение систем обнаружения аномалий и возможностей для выявления вредоносного ПО позволит организациям повысить свою защиту и обезопасить активы клиентов от несанкционированного доступа.