TỔNG QUAN VỀ TROJAN NGÂN HÀNG CHAMELEON

Xuất hiện lần đầu tiên vào tháng 01/2023, Trojan ngân hàng Chameleon nổi lên như một mối đe dọa an ninh mạng nguy hiểm, sử dụng nhiều phương thức phân phối khác nhau để xâm nhập vào hệ sinh thái Android, đặc biệt tập trung vào người dùng ở Úc và Ba Lan.

Chameleon có thể kiểm soát thiết bị của nạn nhân, thực hiện các hành động trực tiếp thông qua proxy. Tính năng này cho phép thực hiện các thao tác nâng cao như tấn công chiếm đoạt tài khoản (ATO) và chiếm đoạt thiết bị (DTO), đặc biệt nhắm mục tiêu vào các ứng dụng ngân hàng và dịch vụ tiền điện tử. Các chức năng này dựa trên việc lạm dụng các đặc quyền của dịch vụ trợ năng (Accessibility Service).

Biến thể trước đó của Trojan ngân hàng Chameleon cũng sử dụng một loạt phương thức phân phối đa dạng, ưu tiên ngụy trang thành các ứng dụng hợp pháp thông qua các trang web lừa đảo hoặc mạo danh các cơ quan chính phủ, đồng thời sử dụng Mạng phân phối nội dung (CDN) hợp pháp để phân phối tệp độc hại.

Như đã đề cập, Chameleon chủ yếu nhắm mục tiêu vào người dùng tại Úc và Ba Lan, phần mềm độc hại này ẩn danh dưới dạng ứng dụng của Văn phòng Thuế Úc (ATO) và các ứng dụng ngân hàng phổ biến ở Ba Lan. Chiến lược này gây ra mối lo ngại đáng kể cho các ngân hàng và các tổ chức tài chính khác tại những khu vực này. Khả năng mạo danh các ứng dụng đáng tin cậy của Chameleon làmnâng cao khả năng tác động trên diện rộng.

Hình 1. Các khả năng của Trojan Chameleon

BIẾN THỂ MỚI CỦA CHAMELEON

Các nhà nghiên cứu cho biết phiên bản Chameleon mới bổ sung nhiều tính năng để chiếm quyền điều khiển thiết bị và mở rộng mục tiêu tấn công. Theo nhận định trước đó của ThreatFabric, sau các phiên bản đang hoàn thiện ban đầu, một phiên bản nâng cao và tinh vi hơn của Trojan ngân hàng Chameleon sẽ mang các đặc điểm từ phiên bản tiền nhiệm của nó. Biến thể mới này cũng đã mở rộng khu vực mục tiêu tấn công sang phạm vi người dùng Android ở Vương quốc Anh và Ý.  

Được phân phối bằng Zombinder, các mẫu của biến thể mới Chameleon thực hiện một phương thức hoạt động nhất quán. Đáng chú ý, chúng thường được phát tán dưới dạng ứng dụng Google Chrome.

Hình 2. Phán tán Chameleon dưới dạng các ứng dụng Google Chrome

Hai tính năng mới nổi bật trong biến thể Chameleon được cập nhật đó là khả năng vượt qua xác thực sinh trắc học và khả năng hiển thị trang HTML để bật dịch vụ trợ năng trong các thiết bị triển khai tính năng “Restricted Settings (Cài đặt hạn chế)” của Android 13. Những cải tiến này nâng cao tính phức tạp và khả năng thích ứng của biến thể Chameleon mới, khiến nó trở thành mối đe dọa tiềm tàng khi xuất hiện nhiều hơn các kỹ thuật và biến thể mới của Trojan ngân hàng di động.

KHÁM PHÁ CÁC KỸ THUẬT TRONG BIẾN THỂ MỚI CỦA TROJAN CHAMELEON

Khi đã được cài đặt thành công vào điện thoại, Chameleon ngay lập tức sẽ thực hiện hai khả năng: (1) Kích hoạt dịch vụ trợ năng và (2) vô hiệu hóa tính năng xác thực bằng vân tay.

Android 13: Lời nhắc HTML để kích hoạt dịch vụ trợ năng

Trong bước đầu tiên, có một tính năng đặc biệt nổi bật liên quan đến việc kiểm tra dành riêng cho thiết bị được kích hoạt khi nhận được lệnh “android_13” từ máy chủ ra lệnh và điều khiển (C2). Ví dụ, sau khi xác nhận về việc cài đặt hạn chế của Android 13 có trên thiết bị nạn nhân, Chameleon sẽ ngay lập tức đưa ra phản hồi bằng cách tải trang HTML và hướng dẫn người dùng thực hiện quy trình thủ công từng bước để kích hoạt dịch vụ trợ năng trên Android 13 trở lên.

Hình 3. Thông tin về khả năng của biến thể Chameleon mới để thích ứng với Android 13

Chameleon là một ví dụ về xu hướng tấn công mới trong đó các tác nhân đe dọa điều chỉnh Dropper và tích hợp các biện pháp kiểm tra hạn chế của Android 13 vào phần mềm độc hại để vượt qua các biện pháp bảo mật.

Vượt qua xác thực sinh trắc học

Trong bước thứ hai, khi đã có quyền điều khiển dịch vụ trợ năng, phần mềm độc hại này sẽ tiến hành làm gián đoạn hoạt động sinh trắc học của thiết bị được nhắm mục tiêu. Tính năng này được kích hoạt bằng cách thực thi câu lệnh “interrup_biometric”. Khi nhận được lệnh này, phần mềm độc hại sẽ thực thi phương thức “InterruptBiometric”.

Phương pháp này sử dụng API KeyguardManager và AccessibilityEvent để đánh giá trạng thái màn hình và phím bảo vệ. Nó có thể xác định màn hình khóa dùng mật khẩu, mẫu hình, mã PIN hoặc vân tay để mở khóa thiết bị. Khi đáp ứng các điều kiện đã chỉ định, phần mềm độc hại sử dụng hành động AccessibilityEvent để chuyển từ xác thực sinh trắc học sang xác thực mã PIN. Điều này bỏ qua lời nhắc sinh trắc học, cho phép Trojan mở khóa thiết bị theo ý muốn.

Việc buộc thực hiện dự phòng (fallback) đối với xác thực “tiêu chuẩn” mang đến cho kẻ tấn công hai lợi thế. Thứ nhất, nó tạo điều kiện cho việc đánh cắp mã PIN, mật khẩu hoặc khóa màn hình thông qua các chức năng keylogging, vì những tác nhân đe dọa này vẫn không thể truy cập được dữ liệu sinh trắc học. Thứ hai, việc tận dụng phương án dự phòng này cho phép những kẻ tấn công có thể mở khóa thiết bị bằng mã PIN hoặc mật khẩu bị đánh cắp trước đó. Điều này đạt được thông qua các hành động trợ năng.

Vì vậy, mặc dù dữ liệu sinh trắc học của nạn nhân vẫn nằm ngoài tầm với của kẻ tấn công, thế nhưng chúng buộc thiết bị phải quay lại xác thực mã PIN, từ đó bỏ qua hoàn toàn việc bảo vệ sinh trắc học.

Hình 4. Vượt qua xác thực sinh trắc học

Lập lịch tác vụ và kiểm soát hoạt động

Các nhà nghiên cứu bảo mật tại ThreatFabric còn cho biết thêm, biến thể Chameleon mới còn tối ưu được cả sắp xếp tác vụ tự động để theo dõi và tận dụng thói quen sử dụng ứng dụng của người dùng. Nhờ đó, phần mềm độc hại thậm chí còn có khả năng hiển thị những màn hình với nội dung giả mạo, đánh lừa người dùng nhập thông tin cá nhân. Biến thể Chameleon thực hiện lập lịch tác vụ bằng API AlarmManager - tính năng này không có trong các biến thể trước đó của Trojan ngân hàng này.

Mặc dù việc lập lịch tác vụ là hành vi phổ biến của các Trojan, nhưng điều khiến việc triển khai này trở nên khác biệt là cách tiếp cận linh hoạt, xử lý hiệu quả khả năng truy cập và khởi chạy hoạt động phù hợp với hành vi tiêu chuẩn của trojan.

Phiên bản Chameleon cập nhật hỗ trợ một số lệnh mới, trong đó có “inejction_type” [sic]. Lệnh này mang lại một yếu tố độc đáo cho cơ chế lập lịch tác vụ của Trojan. Nó tự động chuyển từ “ally” sang “usestats” khi nhận được lệnh cụ thể, tùy thuộc vào việc khả năng truy cập có bị tắt hay không. Nếu tính năng này được bật, phần mềm độc hại sẽ khởi chạy các cuộc tấn công lớp phủ (Overlay) thông qua hoạt động Injection.

Nếu dịch vụ trợ năng bị tắt, phần mềm độc hại sẽ chuyển liền mạch từ “ally” sang “Usagestats”, thu thập thông tin về việc sử dụng ứng dụng của người dùng trên các thiết bị Android chạy phiên bản Android 23 trở lên.

KẾT LUẬN

Sự xuất hiện của biến thể Trojan ngân hàng Chameleon là một ví dụ khác về bối cảnh mối đe dọa phức tạp và có khả năng thích ứng trong hệ sinh thái Android. Phát triển từ phiên bản trước đó, biến thể mới thể hiện khả năng phục hồi và các tính năng mới nâng cao. Với sự tập trung mở rộng mục tiêu vào người dùng ở Anh và Ý, Trojan này sử dụng nhiều phương thức phân phối, bao gồm triển khai qua Zombinder và giả dạng các ứng dụng hợp pháp như Chrome.

Đáng chú ý là các tính năng mới của Chameleon, chẳng hạn như các trang HTML để đánh giá thiết bị Android 13 và làm gián đoạn các hoạt động sinh trắc học, cả hai đều thể hiện khả năng thích ứng của nó. Việc kiểm soát cài đặt khả năng truy cập và hoạt động càng nhấn mạnh thêm rằng phiên bản Chameleon mới là một loại phần mềm độc hại Android tinh vi.

Sự phát triển này diễn ra khi công ty an ninh mạng Zimperium (Mỹ) tiết lộ rằng 29 họ phần mềm độc hại đã nhắm mục tiêu đến 1.800 ứng dụng ngân hàng trên 61 quốc gia trong năm qua. Các nhóm hoạt động mới bao gồm Nexus, PixPirate, Saderat, Hook, PixBankBot, Xenomorph v3, Vultur, BrasDex và GoatRAT.

Google cho biết nếu tính năng Play Protect trên điện thoại được bật theo mặc định, người dùng có thể được bảo vệ khỏi các mối đe dọa như Chameleon.