Chameleon Android 银行木马重新出现在威胁现场，配备了新的 Android 安全绕过功能。该恶意软件伪装成客户关系管理 （CRM） 应用程序，针对两大洲的酒店业员工和其他业务员工。

Threat Fabric 的研究人员透露，设备接管特洛伊木马针对的是加拿大和欧洲的“酒店工作人员和潜在的 B2C 业务员工”。研究人员表示，新变体使用的滴管可以绕过 Android 13+ AccessibilityService 限制。

据Threat Fabric称，该木马的目标是加拿大一家在全球运营的受欢迎的连锁餐厅，以获取对公司银行账户的访问权限，这将对被破坏的组织构成“重大风险”。

Threat Fabric的一篇博客文章称：“对于角色涉及CRM的员工来说，这种访问的可能性增加，这可能是在这次最新活动中选择伪装的原因。

研究人员还发现了针对“特定金融机构的客户”的攻击证据，其中Chameleon伪装成安全应用程序，以安装受害者银行发布的安全证书，作为恶意软件复兴的一部分。

变形恶意软件

安全研究人员在 2022 年 12 月/2023 年 1 月左右首次检测到变色龙——它因其通过多个新命令适应环境的能力而得名，当时它以最早的形式出现，是一项正在进行的工作。除了去年年底出现的一个功能更全面的变体，可以绕过生物识别安全之外，该恶意软件一直在雷达下飞行。

现在，它再次发展，具有新功能，展示了其操作员如何更改恶意软件以跟上 Android 操作系统的步伐，因为它还增强了高级安全功能。

根据 Threat Fabric 帖子，“最重要的是木马能够绕过 Android 13+ 限制，这再次证明了我们过去所做的预测——这种能力对于现代银行木马来说已经变得至关重要。

Chameleon 使用 BrokewellDropper 进行交付对这种绕过具有重要意义;事实上，根据 Threat Fabric 的说法，自从 dropper 的源代码泄露（具有广泛的设备接管功能）以来，更多的威胁行为者现在可以访问 Android 操作系统上的安全绕过。

特洛伊木马的最新伪装

对于追踪特洛伊木马的安全研究人员来说，Chameleon的最新伪装应该不足为奇，因为该恶意软件与其他特洛伊木马一样，历来曾冒充受信任的应用程序。 此前，Chameleon伪装成澳大利亚税务局（ATO）等机构的应用程序或波兰几个流行的银行应用程序之一，以从用户设备窃取数据。

加载后，滴管会显示一个伪装成 CRM 登录页面的虚假页面，要求提供员工 ID。然后，它会显示一条消息，要求重新安装该应用程序，该应用程序实际上是Chameleon，它会安装并绕过Android AccessibilityService限制。安装后，特洛伊木马会再次加载一个虚假网站，要求提供员工的凭据。如果提交，应用程序会根据 Threat Fabric 显示错误页面。

Chameleon 在设备的后台保持运行，这意味着它还可以使用键盘记录从用户那里收集其他凭据和敏感信息。“这些信息可以用于进一步的攻击，或者行为者可以通过在地下论坛上出售来获利，”该帖子称。

更复杂的攻击

据 Threat Fabric 称，最新的 Chameleon 活动展示了挥舞特洛伊木马的网络犯罪分子如何寻找新的创新方法来瞄准个人移动用户的银行凭证之外的更大资产。这将使所有组织对不断变化的移动威胁形势保持高度警惕。

“随着企业（尤其是中小型）银行产品数量的增加以及通过移动设备获得它们的便利性，我们可以预期网络犯罪分子将进一步探索针对此类移动设备及其用户的方法，”该帖子称。

根据 Threat Fabric 的说法，为了应对这些威胁，金融机构可以采取预防措施，让企业客户了解 Chameleon 等移动银行恶意软件的潜在影响以及这些恶意应用程序可能带来的后果。此外，鉴于银行对客户金融账户的可见性，银行还应该更加积极主动地发现活动和行为中的异常情况，以便在威胁破坏账户之前阻止威胁。