В недавнем времени эксперты по кибербезопасности обнаружили изощренную тактику, используемую трояном Chameleon для Android, который теперь нацелен на пользователей в Канаде. Этот вредоносный софт искусно маскируется под приложение для управления взаимоотношениями с клиентами (CRM), представляя значительную угрозу как для ничего не подозревающих людей, так и для бизнеса.
Новая угроза для канадского бизнеса
Согласно техническому отчету, выпущенному голландской компанией по безопасности ThreatFabric, троян Chameleon был замечен в кампании, начавшейся в июле 2024 года. Основное внимание в этой операции уделяется клиентам в секторе гостеприимства, в частности, канадской сети ресторанов с международными операциями. Примечательно, что это расширение охвата трояна за пределы его предыдущих целей в Австралии, Италии, Польше и Великобритании.
Злонамеренные приложения, разработанные так, чтобы напоминать инструменты CRM, особенно нацелены на сотрудников, работающих в сфере Business-to-Consumer (B2C), что указывает на стратегический выбор атакующих для использования уязвимостей в этом секторе. Артефакты дроппера, используемые в этой кампании, были разработаны для обхода ограниченных настроек, введенных Google в Android 13 и более поздних версиях, которые предназначены для предотвращения запроса опасных разрешений со стороны загружаемых приложений, таких как службы доступности. Эта техника напоминает методы, ранее наблюдавшиеся в других вредоносных программах, таких как SecuriDroper и Brokewell.
После установки троян представляет поддельный интерфейс входа в CRM-приложение. Жертвы сталкиваются с обманчивым сообщением об ошибке, побуждающим их переустановить приложение. На самом деле это действие запускает развертывание полезной нагрузки Chameleon. После этого вновь появляется поддельная веб-страница CRM, призывающая пользователей снова войти в систему, только чтобы встретиться с еще одним сфабрикованным сообщением об ошибке: «Ваша учетная запись еще не активирована. Свяжитесь с отделом кадров».
Chameleon не просто неприятность; он оснащен для выполнения мошенничества на устройстве (ODF) и может незаконно переводить средства с аккаунтов пользователей. Вредоносное ПО использует наложения и обширные разрешения для сбора конфиденциальной информации, включая учетные данные, списки контактов, SMS-сообщения и данные о геолокации. ThreatFabric предупреждает, что если злоумышленникам удастся скомпрометировать устройство с доступом к корпоративному банкингу, последствия могут быть серьезными, предоставляя им доступ к бизнес-банковским счетам и представляя значительный риск для организации. Выбор маскировки под инструмент CRM вероятно обусловлен увеличенным доступом, предоставляемым сотрудникам, чьи роли включают использование таких систем.
Это развитие событий происходит вскоре после отчета IBM X-Force, который описал отдельную кампанию банковского вредоносного ПО, организованную группой CyberCartel в Латинской Америке. Эта кампания была направлена на кражу учетных данных и финансовой информации путем развертывания трояна под названием Caiman через вредоносные расширения Google Chrome. Основная цель этих злонамеренных действий — установка вредоносных плагинов на браузеры жертв, используя технику Man-in-the-Browser для незаконного сбора конфиденциальной банковской информации, а также другой важной информации, такой как данные о скомпрометированных машинах и снимки экрана по запросу. Обновления и конфигурации для этих атак распространяются через канал Telegram, управляемый злоумышленниками.
Для тех, кто заинтересован в получении последних новостей о кибербезопасности, следите за нами в Twitter и LinkedIn для получения эксклюзивного контента.