Expertos en ciberseguridad identificaron una nueva versión Chameleon, un troyano bancario para Android, el cual, ha ampliado su alcance para incluir a usuarios en el Reino Unido e Italia.
La firma de seguridad móvil ThreatFabric, sostiene que esta variante mejorada utiliza técnicas de Device Takeover (DTO) a través del servicio de accesibilidad, ampliando su enfoque geográfico.
Este malware se aprovecha de los permisos de accesibilidad de Android para recopilar información confidencial y llevar a cabo ataques de superposición. Las versiones anteriores de este malware se distribuían a través de aplicaciones maliciosas alojadas en sitios de phishing que se hacían pasar por entidades legítimas, como la Oficina de Impuestos de Australia y una plataforma de criptomonedas.
Además, este troyano bancario se está propagando a través de Zombinder, un servicio de cuentagotas utilizado para vincular cargas maliciosas con aplicaciones legítimas, ofrecido como servicio a otros actores de amenazas.
Este malware resurgió, presentando habilidades para sortear la función ‘Configuración restringida’ en Android, lo que le permite instalar malware en los dispositivos y acceder al servicio de accesibilidad.
Los artefactos maliciosos que distribuyen Chameleon se disfrazan como el navegador Google Chrome, y se los identifica bajo los nombres de:
- Z72645c414ce232f45.Z35aad4dde2ff09b48
- com.busy.lady
Una característica destacada de esta versión mejorada es su capacidad para realizar fraudes de toma de control de dispositivos (DTO), aprovechando el servicio de accesibilidad para ejecutar acciones no autorizadas en nombre de la víctima.
Para persuadir a los usuarios de activar esa configuración, el malware verifica la versión de Android instalada en el dispositivo. Si detecta que es Android 13 o posterior, el malware solicita al usuario que la habilite.
Después de confirmar, Chameleon procede a cargar una página HTML. Esta página guía a los usuarios a través de un proceso detallado y manual para activar el servicio de accesibilidad en Android 13 y versiones superiores.
Una novedad adicional es la utilización de las API de Android para interrumpir las operaciones biométricas del dispositivo objetivo. Esto se logra al cambiar sigilosamente el método de autenticación de la pantalla de bloqueo a un PIN, permitiendo que el malware desbloquee el dispositivo a su voluntad.
Fuente:
Android malware Chameleon disables Fingerprint Unlock to steal PINs
Android Banking Trojan Chameleon can now bypass any Biometric Authentication
Ciberprisma - alianza por la ciberseguridad 