Chameleon Android kötü amaçlı yazılımının yeni bir çeşidi, aralarında parmak izi kilitlerini atlama yeteneğinin de bulunduğu yeni özelliklere sahip olarak vahşi doğada bulundu.
Chameleon Android bankacılık truva atı ilk olarak 2023'ün başlarında Avustralya ve Polonya'daki mobil bankacılık uygulamalarına odaklanarak sahneye çıktı ancak o zamandan beri İngiltere ve İtalya dahil diğer ülkelere de yayıldı. Kötü amaçlı yazılım birden fazla kaydedici kullanıyor ancak işlevleri biraz sınırlı.
Chameleon'un önceki sürümleri kurban adına eylemler gerçekleştirebiliyordu; kötü amaçlı yazılımın arkasındaki kişiler hesap ve cihaz ele geçirme saldırıları gerçekleştirebiliyordu. ThreatFabric'teki araştırmacılar tarafından 21 Aralık'ta ayrıntılı olarak açıklandığı üzere Chameleon, uç noktalardan hassas bilgileri çalmak ve yer paylaşımlı saldırılar düzenlemek için geleneksel olarak Android Erişilebilirlik Hizmetini kötüye kullanıyordu.
Ancak yeni sürüm iki değişiklikle birlikte geliyor: biyometrik istemleri atlama yeteneği ve Android 13'ün "Kısıtlı Ayarlar" özelliğini uygulayan cihazlarda erişilebilirlik hizmetini etkinleştirmek için bir HTML sayfası görüntüleme yeteneği. Araştırmacılara göre, geliştirmeler yeni Chameleon versiyonunun karmaşıklığını ve uyarlanabilirliğini artırıyor ve bu da onu mobil bankacılık truva atlarının sürekli gelişen ortamında daha güçlü bir tehdit haline getiriyor.
Yeni Chameleon çeşidi, işletim sisteminin Android 13 veya daha yeni bir sürüm olup olmadığını görmek için tarama yaparak başlıyor. Durum böyleyse, kötü amaçlı yazılım kullanıcıdan erişilebilirlik hizmetlerini açmasını ister ve süreç boyunca kullanıcıya rehberlik edecek kadar ileri gider. Kötü amaçlı yazılım tamamlandıktan sonra kullanıcı adına yetkisiz eylemler gerçekleştirebilir.
Bu, kötü amaçlı yazılım aileleri arasında özellikle benzersiz bir yetenek değil, ancak işin ilginç hale geldiği bir sonraki kısım var: hedeflenen cihazdaki biyometrik işlemleri kesintiye uğratma ve parmak izi kilitlerini atlama yeteneği.
Yöntem, KeyguardManager uygulama programlama arayüzünü ve ekran ve tuş kilidi durumunu değerlendirmek için kullanıcı arayüzündeki değişiklikler hakkında bilgi sağlayan Android sistem düzeyinde bir olay olan AccessibilityEvent'i kullanır. Android'deki tuş kilidi, ekran kilidi ve kimlik doğrulama mekanizmaları gibi cihaz güvenliğini yönetmekten sorumlu bir sistem bileşenidir.
Kötü amaçlı yazılım, tuş kilidinin desen, PIN veya şifre gibi çeşitli kilitleme mekanizmalarına ilişkin durumunu değerlendirir. Belirli koşullar karşılandığında kötü amaçlı yazılım, biyometrik kimlik doğrulamadan PIN kimlik doğrulamasına geçiş yapmak için AccessibilityEvent eylemini kullanır. Bu, biyometrik istemi atlayarak truva atının istediği zaman cihazın kilidini açmasına olanak tanır.
Yöntemin, kötü amaçlı yazılımın arkasındakilere iki avantaj sağladığı söyleniyor: biyometrik verileri atlayarak keylogging işlevleri aracılığıyla PIN'lerin, şifrelerin veya grafik anahtarların çalınmasını kolaylaştırma yeteneği ve daha önce çalınan PIN'leri veya şifreleri kullanarak cihazların kilidini açma yeteneği.
Araştırmacılar şu sonuca varıyor: "Yeni Chameleon bankacılık truva atının ortaya çıkışı, Android ekosistemindeki karmaşık ve uyarlanabilir tehdit ortamının bir başka örneğidir." "Daha önceki versiyonundan geliştirilen bu varyant, daha fazla dayanıklılık ve gelişmiş yeni özellikler sergiliyor."
Kullanıcılar, virüs bulaşmasını önlemek için uygulamaları yüklerken sağduyulu davranmalı, örneğin resmi olmayan şüpheli sitelerden uygulama yüklememeli ve Android cihazlarda zararlı yazılımların yüklenmesini önlemek için uygulamaları tarayıp doğrulayan bir güvenlik özelliği olan Play Koruma gibi güvenlik önlemlerini kullanmalıdır.
Kayıtlar
Hiç yorum yok:
Yorum Gönder