
Executive Summary
ทางศูนย์ CSOC พบรายงานการแจ้งเตือนเกี่ยวกับช่องโหว่ Fingerprint Unlock ที่สามารถปิดการใช้งาน
ลายนิ้วมือและปลดล็อคใบหน้าเพื่อขโมย PIN ของอุปกรณ์โดย Chameleon Android banking trojan ได้เกิดขึ้นอีกครั้ง
กับเวอร์ชั่นใหม่ที่ใช้เทคนิคที่ซับซ้อนมากกว่าเดิมในการเข้ายึดครองอุปกรณ์สามารถท าได้โดยใช้HTML page ในการ
เข้าถึงบริการและการขัดขวางการท างานของไบโอเมตริกซ์เพื่อขโมย PIN และปลดล็อคอุปกรณ์ซึ่งในเดือนเมษายนของปี
2556 ได้พบเวอร์ชันเก่าของ Chameleon ที่ปลอมตัวเป็นหน่วยงานของรัฐออสเตรเลีย ธนาคารและแลกเปลี่ยนคริปโต
เคอร์เรนซี CoinSpot โดยด าเนินการท าคีย์ล็อกที่ซ้อนทับแอปพลิเคชัน การขโมยคุกกี้และการเอาข้อความ SMS บนอุปกรณ์ที่ถูกครอบครอง
นักวิจัยที่ ThreatFabric ที่ได้ติดตามมัลแวร์และพบว่ามีการกระจายมัลแวร์นี้ผ่าน Zombinder service ในขณะ
ที่ปลอมตัวเป็น Google Chrome เพื่อหลีกเลี่ยงการตรวจจับซึ่ง Zombinder เป็นมัลแวร์ที่เชื่อมกับแอป Android ที่ถูกต้อง
เพื่อให้เหยื่อสามารถใช้ฟังก์ชันทั้งหมดของแอปที่ได้ติดตั้งและทำให้ผู้ใช้ไม่เกิดสงสัยในการท างานที่อันตรายที่กำลังทำงาน
ในพื้นหลัง ซึ่งแพลตฟอร์มได้อ้างว่ามัลแวร์ของพวกเขาไม่สามารถตรวจจับได้ในระหว่างการทำงานเพื่อหลีกเลี่ยงการเตือน
Google Protect และหลีกเลี่ยงผลิตภัณฑ์ต้านไวรัสที่ทำงานบนอุปกรณ์ที่ติดเชื้อ

APK ที่ถือ Chameleon วางตัวเป็น Google Chrome (ThreatFabric)
คุณสมบัติใหม่ของ Chameleon
คุณสมบัติใหม่ที่เห็นใน Chameleon ล่าสุดคือความสามารถในการแสดงหน้า HTML บนอุปกรณ์ที่ใช้ Android
13 หรือรุ่นที่ใหม่กว่าที่แจ้งให้ผู้ที่ตกเป็นเหยื่อของแอปให้ได้รับอนุญาตให้ใช้บริการการเข้าถึงโดย Android 13 หรือรุ่นที่
ใหม่กว่าได้รับการคุ้มครองโดยคุณสมบัติด้านความปลอดภัยที่เรียกว่า “การตั้งค่าที่ถูกจ ากัด” ซึ่ง บล็อกการอนุญาตที่เป็น
อันตรายเช่นการเข้าถึงซึ่งมัลแวร์ที่สามารถใช้ประโยชน์จากการขโมยเนื้อหาบนหน้าจอเพื่อให้สิทธิ์เพิ่มเติม เมื่อ
Chameleon ตรวจพบ Android 13 หรือรุ่นที่ใหม่กว่า เมื่อเปิ ดการท างานจะโหลดหน้า HTML ที่แนะน าผู้ใช้ผ่าน
กระบวนการแบบแมนนวลเพื่อเปิดใช้งานการเข้าถึงส าหรับแอพโดยผ่านการป้องกันของระบบ

พรอมต์หน้า HTML ของ Chameleon (ThreatFabric)
โดยที่สมบัติต่อมาคือความสามารถในการขัดขวางการท างานไบโอเมตริกซ์บนอุปกรณ์เช่น ลายนิ้วมือและปลด
ล็อคใบหน้าโดยใช้บริการการเข้าถึงเพื่อบังคับให้ย้อนกลับไปยัง PIN หรือการตรวจสอบรหัสผ่าน ซึ่งมัลแวร์จะจับ PIN และ
รหัสผ่านที่เหยื่อเข้าสู่ระบบเพื่อปลดล็อคอุปกรณ์และสามารถใช้งานได้ในภายหลังเพื่อปลดล็อคอุปกรณ์และด าเนินการ
กิจกรรมที่เป็นอันตรายที่ซ่อนอยู่ในการท างานพื้นหลัง

ตัวอย่างโค้ด Java รบกวนบริการไบโอเมตริกซ์บน Android (ThreatFabric)
สุดท้าย ThreatFabric รายงานว่า Chameleon ได้เพิ่มความสามารถในการจัดการผ่าน AlarmManager API
เพื่อควบคุมช่วงเวลาของกิจกรรมและก าหนดประเภทของกิจกรรมที่ถือว่าเป็นอันตราย ขึ้นอยู่กับการเปิดหรือปิดใช้งานการ
เข้าถึง การปรับปรุงนี้ท าให้ Chameleon มีความซับซ้อนและสามารถปรับตัวได้มากขึ้น เพื่อท าการโจมตีแบบซ้อนทับหรือ
รวบรวมข้อมูลการใช้แอพเพื่อตัดสินใจเวลาที่เหมาะสมที่สุดส าหรับการ Injection การปรับปรุงนี้ยกระดับความซับซ้อน
และความสามารถในการปรับตัวของ Chameleon ท าให้เป็นภัยคุกคามที่มีศักยภาพและการปรับตัวตลอดเวลาของ
Mobile banking trojans เพื่อรักษาภัยคุกคาม Chameleon ยังพยามหลีกเลี่ยงการจัดหา APKs (Android package files)
จากแหล่งที่ไม่เป็นทางการ เนื่องจากเป็นวิธีการที่แพร่กระจายผ่าน Zombinder service นอกจากนี้ควรตรวจสอบการเปิด
ใช้งาน Google Play Protect ตลอดเวลาและเรียกใช้การสแกนปกติเพื่อให้แน่ใจว่าอุปกรณ์ปลอดภัย
ศูนย์ CSOC ขอแนะนำให้ลูกค้าดำเนินการตรวจสอบรายละเอียดด้านความปลอดภัยในอุปกรณ์ Android 13
หรือรุ่นที่ใหม่กว่าที่กำลังใช้งานภายในองค์กร นอกจากนี้ควรดำเนินการตรวจสอบกิจกรรมหรือไฟล์ที่อาจมีความเสี่ยง
ภายในเครื่องและเปิดใช้งาน Google Play Protect สำหรับอุปกรณ์ Android เพื่อเสริมความปลอดภัยซึ่งช่องโหว่นี้เป็น
ช่องโหว่ที่ก่อให้เกิดความเสี่ยงที่ยอมรับไม่ได้ต่อองค์กรที่ใช้งานอุปกรณ์ Android ที่ได้รับผลกระทบและต้องมีการ
ดำเนินการต่างๆ เพื่อลดความเสี่ยงอย่างเร่งด่วน ทั้งนี้ในช่วงเวลาที่รายงานฉบับนี้ออก (21 ธ.ค. 2566) และยังพบ
Proof-of-concept code สำหรับการโจมตีช่องโหว่นี้และยังพบรายงานเกี่ยวกับการโจมตีช่องโหว่เหล่านี้ในอินเทอร์เน็ต
รายละเอียดของช่องโหว่โดยสรุป
• ผลิตภัณฑ์ที่ได้รับผลกระทบ: Android 13 or later version
• หน่วยงานที่ออกค าแนะน าด้านความปลอดภัย: ThreatFabric Security Joes
• ผลกระทบ (Impact): Malware, Zombinder service, Injection, Mobile banking trojans
• การแก้ไขปัญหา:
o เพื่อป้องกันการติดเชื้อ Malware Chameleon บนอุปกรณ์ Android ควรตรวจสอบการตั้งค่าความ
ปลอดภัยและตรวจสอบไฟล์ที่ดาวน์โหลดหรือติดตั้งล่าสุดเพื่อค้นหาไฟล์ที่ไม่น่าเชื่อถือ ควรเปิดใช้งาน
Google Play Protect และหลีกเลี่ยงการดาวน์โหลดจากแหล่งที่ไม่น่าเชื่อถือ
ข้อมูลที่พบจาก Threat intelligence
• ในช่วงเวลาที่รายงานฉบับนี้ออก (21 ธ.ค. 2566) ยังพบ Proof-of-concept code ส าหรับการโจมตีช่องโหว่นี้
และยังพบรายงานเกี่ยวกับการโจมตีช่องโหว่เหล่านี้ในอินเทอร์เน็ต
ทั้งนี้การแก้ไข Configuration เพื่อลดความเสี่ยงจากช่องโหว่ดังกล่าว ลูกค้าควรปฏิบัติตาม Change
Management Policy หรือ Risk Management Policy หรือ Business Impact Assessment ของหน่วยงานอย่างเคร่งครัด
ข้อมูลอ้างอิง
• https://www.bleepingcomputer.com/news/security/android-malware-chameleon-disablesfingerprint-unlock-to-steal-pins/