Android出现可绕过生物辨识保护的银行木马Chameleon变种
Android变种Chameleon银行木马具有绕过生物辨识保护的能力，还会显示HTML页面引导受
害者启用辅助模式，以方便进行装置代管攻击，目前主要活动于英国与意大利
文/李建兴 | 2023-12-25发表
.
资安公司Threat Fabric发现变种Android银行木马Chameleon的身影，且活动范围已经从
澳洲和波兰，扩散至英国和意大利用户。变种Chameleon有两个重要的新功能，首先是具
有绕过装置生物辨识保护的能力，另外则是可以显示HTML页面，因此在具有Android 13受
限制设定（Restricted Settings）功能的装置，也可以启用辅助功能服务。经强化的变
种Chameleon更复杂也更具适应性，对于使用者造成更大的安全威胁。
在今年1月，Threat Fabric发现银行木马Chameleon能够伪装成合法的行动银行应用程式
，透过网络钓鱼页面欺骗使用者。资安研究人员第一次在网络上发现Chameleon的时候，
其仍处在开发阶段，具有各种日志记录器、有限的恶意功能，并有明确但未使用的指令，
都暗示木马的发展方向和潜在能力。
Chameleon这类银行木马主要针对银行应用程式和加密货币服务，操纵受害者的装置，以
代理功能假冒受害者执行操作，并滥用Android的辅助功能达到帐号接管（Account
Takeover）和装置接管（Device Takeover）的目的。攻击者采取多种方式发布Chameleon
，但主要是透过网络钓鱼页面，将其伪装成为合法应用程式，并使用合法的CDN发布档案
。过去Chameleon主要是伪装成澳洲税务局和波兰受欢迎的银行应用程式。
而经过几个月资安人员再次发现Chameleon，已经是改进后的版本，除了继承先前版本的
功能之外，还加入进阶功能，Chameleon变种透过恶意软件Zombinder散布，并且冒充成为
Google Chrome应用程式，同时也扩大攻击区域，扩展至英国和意大利。
新的Chameleon变种有一项引人注意的功能，是在收到来自C2服务器的特定指令时，可以
启动对Android 13装置的检查。当Chameleon变种发现自己被安装在Android 13装置上，
且该装置对应用程式活动加以限制的时候，便会动态回应显示HTML页面，提示用户启用辅
助服务。而辅助服务对于Chameleon要成功执行装置接管攻击是个重要关键。
此外，Chameleon变种还能中断装置生物辨识操作功能，借由运用KeyguardManager API和
AccessibilityEvent，根据图形、PIN码或密码等不同的锁定机制，评估锁定萤幕的状态
。当满足特定条件时，Chameleon可以使用AccessibilityEvent动作，将生物辨识认证转
换成PIN码认证，如此在绕过生物辨识提示后，Chameleon木马就能随意解锁装置。
虽然攻击者无法操纵与存取生物辨识资料，但是透过强制回退到标准认证，攻击者能透过
键盘纪录窃取图形、PIN码或密码金钥，接着就能运用辅助操作，使用先前窃取的PIN码或
密码解锁装置，进而完全绕过生物辨识的保护。
Chameleon变种还有任务调度和活动控制功能，除了绕过装置生物辨识保护和显示HTML页
面的能力，Chameleon在更新后也加入其他银行木马的功能，例如使用AlarmManager API
进行任务调度。研究人员提到，虽然任务调度在木马中很常见，但是Chameleon的特别之
处在于其动态调度的能力，能够有效处理辅助功能和活动。
Chameleon变种在发现辅助功能被停用的时候，能够从辅助模式切换到usagestats模式，
并启动注入行动发起覆蓋攻击，也就是在受害者的装置上显示假冒接口，让受害者误以为
覆蓋的接口是合法应用程式，欺骗用户输入敏感资讯，像是凭证、信用卡等资讯。