Gefährlicher Android-Bankentrojaner Chameleon taucht wieder auf
Sicherheitsforscher von Threat Fabric haben eine neue Variante des Android-Bankentrojaners Chameleon entdeckt. Diese neue Variante unterstützt neue Geräteübernahmefunktionen, die unter anderem die Möglichkeit bieten, biometrische Abfragen zu umgehen.
Chameleon tauchte im Januar 2023 als Bedrohung auf. Er wurde mit verschiedenen Methoden verbreitet, um Android-Geräte zu infiltrieren. Der Banking-Trojaner konzentrierte sich zunächst auf Nutzer in Polen und Australien.
Der Trojaner zielte in erster Linie auf Banking-Apps ab und wurde über Phishing-Websites verbreitet, indem er sich als legitime Anwendungen tarnte. In Polen tarnte sich Chameleon als legitime Banking-Apps, während er sich in Australien als offizielle App des Finanzamts ausgab.
Die neue Variante von Chameleon geht noch einen Schritt weiter. Sie zielt nicht nur auf Android-Nutzer im Vereinigten Königreich und in Italien ab, sondern ist auch mit neuen Funktionen ausgestattet, die sie noch gefährlicher machen.
Threat Fabric erklärt, dass sich die neue Variante gerne als Google Chrome tarnt, dem weltweit beliebtesten Webbrowser. Die Variante unterstützt zwei neue Funktionen.
Die erste, HTML Prompt to Enable Accessibility Service, reagiert dynamisch auf Android 13-Geräte, auf denen Einschränkungen für Anwendungen gelten. In diesem Fall wird den Benutzern eine HMTL-Seite angezeigt, die sie auffordert, die Zugänglichkeitsdienste zu aktivieren. Dieser Schritt ist äußerst wichtig, da Chameleon auf den Accessibility-Dienst angewiesen ist, um seine Geräteübernahmeangriffe durchzuführen.
Nach Erhalt der Bestätigung, dass die eingeschränkten Einstellungen von Android 13 auf dem infizierten Gerät vorhanden sind, startet der Banking-Trojaner das Laden einer HTML-Seite. Die Seite führt den Benutzer durch einen manuellen Schritt-für-Schritt-Prozess, um den Accessibility Service auf Android 13 und höher zu aktivieren. Die nachstehende Grafik gibt einen Überblick über die Anpassung der neuen Chameleon-Variante an die Android-13-Umgebung.
Das zweite wichtige Merkmal der neuen Chameleon-Variante ist die Fähigkeit, biometrische Operationen auf infizierten Geräten zu unterbrechen. Der Kerngedanke hinter dieser Funktion besteht darin, von der biometrischen Authentifizierung, z. B. über einen Fingerabdruck, auf eine Pin-basierte Authentifizierung umzuschalten.
Dadurch kann der Trojaner die PIN, das Kennwort oder das Muster des Benutzers abfangen. Diese können dann vom Trojaner verwendet werden, um das Gerät zu entsperren.
Eine weitere verbesserte Funktion ist die Aufgabenplanung über die AlarmManager-API. Der Trojaner implementiert wieder einen dynamischen Ansatz. Er ermöglicht es dem Trojaner, die im Vordergrund befindliche Anwendung zu ermitteln. Er benötigt diese Informationen, um zu entscheiden, ob er Overlays anzeigen und Aktivitäten einleiten soll.
Die Forscher stellen fest, dass sich die Angriffe auf die Verbreitung von Android-APK-Dateien über Drittanbieterquellen stützen. Es besteht eindeutig keine Notwendigkeit, Google Chrome oder andere wichtige Anwendungen von einer Drittquelle herunterzuladen.
Der neue Trojaner könnte in erster Linie auf bestimmte Regionen abzielen, aber es ist klar, dass sich die Aktivitäten in Zukunft auf andere Regionen ausweiten werden.