Chameleon という Android マルウエア：バイオメトリック・プロンプトをバイパス

Chameleon Android Malware Can Bypass Biometric Security

2023/12/22 SecurityWeek — Chameleon という Android バンキング型トロイの木馬のは、新しいバイパス機能を備えており、その標的地域を拡大していると、オンライン詐欺検出会社 ThreatFabric が報告している。この、2023年初頭から活動しているマルウェアは、オーストラリアとポーランドのモバイル・バンキング・アプリケーションを標的化するところから始まり、その後にはイギリスとイタリアにまで、その侵害の範囲を広げている。

ThreatFabric によると、Chameleon が発見された当初は、複数のロガーを使用しており、悪意の機能は限られていたという。また、さまざまな未使用のコマンドが含まれていたことから、開発中であったと説明している。

その後の Chameleon は、プロキシ機能を使用し、アクセシビリティ・サービスを悪用することで、被害者に代わってアクションを実行するものになった。この攻撃者の主要な標的は、銀行や暗号通貨アプリケーションであり、Account Takeover (ATO) や Device Takeover (DTO) 攻撃を達成していった。

このマルウェアは、正規のアプリケーションを装うものであり、正規のコンテンツ配布ネットワーク (CDN) とフィッシング・ページを介して、悪意のファイルを配布していた。

そして、前日に ThreatFabric は、さらにアップデートされた Chameleon の亜種を確認した。この亜種は、以前と同じ特徴や手口を示しながら、高度な機能も搭載している。

この新しいサンプルは、Android ユーザーを標的とした攻撃で頻繁に使用される、Zombinder という DaaS (Dropper-as-a-Service) を通じて配布されている。ThreatFabric によると、新たに観測された Zombinder からのサンプルは、洗練された２段階のペイロード・プロセスを使用しており、Chameleon とともに Hook マルウェア・ファミリーを展開しているという。

Chameleon の新バージョンにおける最も重要な機能の１つは、Command and Control (C2) サーバからコマンドを受信した際に起動するデバイス固有のチェックにおいて、Android 13 で導入された Restricted Settings 保護をターゲットにしている点である。

C2 サーバからのコマンドを受信したトロイの木馬は、HTML ページを表示することで、被害者に対してアクセシビリティ・サービスの有効化を促す。このページでは、サービスを有効化するための、手動によるステップ・バイ・ステップのプロセスを被害者に示し、マルウェアによる Device Takeover (DTO) 攻撃の準備を行う。

さらに、新しい Chameleon 亜種は、被害者のデバイス上でのバイオメトリック操作を中断する新機能を搭載しており、これも特定のコマンドを介して有効になる。

一連のコマンドを受信したマルウェアは、デバイスの画面とキーガードのステータスを評価し、AccessibilityEvent アクションを利用してバイオメトリック認証から PIN 認証へと移行していく。つまり、バイオメトリック・プロンプトがバイパスされることになる。

ThreatFabric は「標準認証へのフォールバックを強制することで、攻撃者たちには２つの利点が生じる。第一に、バイオメトリック・データは、攻撃者からアクセスできない状況にあるが、PIN／パスワード／グラフィカル・キーなどは、キーロ グ機能を介して容易に盗み出せる。第二に、フォールバックを悪用する脅威者は、以前に盗んだ暗証番号やパスワードを使用して、デバイスのロックを解除できる」と説明している。

更新された Chameleon の亜種は、AlarmManager API を使用したタスク・スケジューリングも導入している。この機能は、他のバンキング型トロイの木馬でも確認されているが、その実装方法は異なるものである。アクセシビリティ・オプションが実装されていない場合には、このマルウェアは、ユーザー・アプリの情報収集に切り替えて、フォアグラウンド・アプリケーションを特定し、インジェクション・アクティビティを使用してオーバーレイを表示するという。

バイオメトリック・バイパスの発生を知らせる記事ですが、本質的なハイジャックではなく、認証ステップが引き起こされたという話です。なお、関連する記事としては、2023/11/22 の「Windows Hello 認証バイパスの問題：指紋センサー・プロトコルの不適な実装」があります。よろしければ、ご参照ください。