近日，網絡安全公司 Cyble 發現一種名為 Chameleon（“變色龍”）的新安卓惡意軟件冒充澳大利亞政府機構 CoinSpot 加密貨幣交易所和 IKO 銀行，通過受損網站、Discord 附件和 Bitbucket 托管服務進行分發，對澳大利亞和波蘭的用戶展開網絡攻擊。

Cyble 的安全研究人員表示 Chameleon 主要通過疊加注入和密鑰記錄、cookie 和受感染設備的短信竊取用戶憑據。

能夠逃避安全軟件檢查

該惡意軟件有很強的逃避安全檢查能力，一旦啟動后會立即執行各種“檢查”，以逃避安全軟件的檢測。（據悉，“檢查”主要包括反仿真檢查，以檢測設備是否已扎根并激活調試，從而增加惡意軟件應用程序在系統安全環境中運行的可能性。）

如果檢查結果顯示受害系統環境很“干凈”，Chameleon 就會請求受害者允許其使用無障礙服務，并濫用該服務授予自身額外的權限，以期禁用 Google Play Protect。

請求允許使用無障礙服務（Cyble)

在與 C2 第一次連接時， 為了解最新的感染情況，Chameleon 灰發送設備版本、型號、根狀態、國家和精確位置。接下來，根據惡意軟件模擬的實體，它會在 WebView 中打開其合法 URL，并開始在后臺加載惡意模塊。

值得一提的事，這些模塊包括一個 cookie 竊取器、一個鍵盤記錄器、一個網絡釣魚頁面注射器、一個鎖屏 PIN/模式抓取器，以及一個可以竊取一次性密碼并幫助攻擊者繞過 2FA 保護的短信竊取器。

短信攔截（Cyble）

研究人員分析后發現上述惡意模塊大多依賴可訪問性服務濫用來按需工作，從而使 Chameleon 惡意軟件能夠監控屏幕內容、監控特定事件、進行干預以修改界面元素，或根據需要發送某些 API 調用。

濫用無障礙服務來檢索鎖屏密碼（Cyble）

一部分惡意模塊被用于阻止惡意軟件的卸載，識別受害者何時試圖刪除惡意應用程序，并刪除其共享的首選項變量，使其看起來好像不再存在于設備中。

自動刪除共享首選項變量（Cyble）

共享的首選項變量的擦除使得 Chameleon 惡意應用程序在下次啟動時重新建立與 C2 的通信，但阻止了其卸載，并使研究人員更難進行分析。

Cyble 還觀察到一些代碼，這些代碼使 Chameleon 能夠在運行時下載有效負載，并將其保存在主機上作為“.jar”文件，稍后通過 DexClassLoader 執行，但此功能目前尚未使用。

下載額外有效載荷的代碼(Cyble)

Chameleon 作為一種新興惡意軟件威脅，可能會在未來的版本中增加更多的功能，因此網絡安全專家建議安卓用戶保持謹慎安裝應用程序，只從官方商店下載軟件，并確保其設備始終啟用了Google Play Protect。