Пользователей предупредили о банковском трояне Chameleon для Android, атакующем через поддельное приложение CRM
Изображение: Alvaro Reyes (unsplash)
Специалисты компании ThreatFabric сообщили о выявлении новой техники, которую применяют хакеры, проводящие атаки с применением банковского трояна Chameleon для Android. Распространение этого вредоносного ПО происходит под видом популярного мобильного приложения для управления взаимоотношениями с клиентами (CRM).
В техническом отчёте, опубликованном голландской компанией по кибербезопасности ThreatFabric, говорится о том, что «было замечено, что Chameleon маскировался под CRM-приложение и атаковал канадскую сеть ресторанов, работающую на международном уровне».
По словам экспертов по информационной безопасности, соответствующую киберпреступную операцию они выявили в июле 2024 года. Хакеры нацеливались преимущественно на пользователей из Северной Америки и Европы, при этом атакованные частные лица и компании были замечены в Австралии, Польше, Италии и Великобритании.
Компания ThreatFabric также отмечает, что использование тематики, связанной с CRM, для вредоносных приложений-дропперов, содержащих вредоносное ПО, указывает на то, что целями являются клиенты в сфере гостеприимства и сотрудники сферы B2C.
Артефакты Chameleon предназначены для обхода ограниченных настроек, введённых Google в Android 13 и более поздних версиях, чтобы предотвратить запрос сторонних приложений на опасные разрешения (например, службы специальных возможностей), метод, ранее применявшийся SecuriDroper и Brokewell.
После установки приложение отображает поддельную страницу входа в CRM-инструмент, а затем выводит поддельное сообщение об ошибке, призывающее жертв переустановить приложение. На самом деле, оно развертывает полезную нагрузку Chameleon.
За этим шагом следует повторная загрузка фальшивой веб-страницы CRM, на этот раз с просьбой завершить процесс входа в систему, но затем отображается другое сообщение об ошибке: «Ваша учётная запись ещё не активирована. Обратитесь в отдел кадров».
Эксперты предупреждают пользователей быть осторожными при скачивании и установке приложений, особенно если они запрашивают подозрительно много разрешений или представляют собой новые и малоизвестные программы.
