Chameleon un trojan bancario che colpisce gli smartphone Android
e che sfrutta una particolare tecnica, subdola e sottile, per poter
prendere il controllo dei dispositivi che infetta. Il trojan disabilita
infatti i sistemi di sicurezza biometrici, che siano lettori di
impronte digitali o soluzioni di riconoscimento facciale, per indurre
la vittima ad utilizzare il PIN e riuscire, in questo modo, a
registrarlo.
Il
malware si spaccia per Google Chrome e viene diffuso sfruttando
Zombinder. Quest’ultimo un meccanismo che permette di abbinare il
malware alle app Android legittime cos che l’utente possa utilizzare
appieno l’app desiderata, che viene regolarmente installata, e non
sospettando la presenza di codice dannoso in esecuzione in background.
Su Android 13 e versioni successive Chameleon pu visualizzare una pagina
HTML per ingannare l’utente a concedere il permesso ai servizi di
accessibilit cos da poter disabilitare i sistemi di sicurezza
biometrici.
Fonte: Threat
Fabric
Quando l’utente, per sbloccare il telefono o qualsiasi servizio protetto
dall’autenticazione biometrica, costretto ad inserire un PIN o una
password, Chamelelon registra le informazioni inserite dall’utente,
cos da utilizzarle in seguito per eseguire attivit dannose passando
inosservato.
Chameleon pu inoltre pianificare i task da eseguire usando l’API
AlarmManager per gestire i periodi di attivit e stabilire quali azioni
compiere. A seconda delle condizioni dello smartphone, il malware si
adatta al lancio di attacchi overlay o alla raccolta di dati sull’utilizzo
delle app per decidere il momento migliore per agire.
La minaccia Chameleon pu essere aggirata evitando di installare APK
non provenienti da fonti ufficiali, dal momento che Zombinder viene
distribuito principalmente tramite canali non affidabili. Inoltre sempre
bene prestare attenzione alle richieste di permessi ai servizi di
Accessibilit prima di concedere l’autorizzazione.
Chameleon era gi stato individuato in una variante precedente nel mese
di aprile, quando si spacciava per app bancarie e per la piattaforma di
criptovalute CoinSpot, effettuando operazioni di keylogging, furto di
cookie di sessione e furto di SMS sui dispositivi compromessi. La nuova
variante di Chameleon ha espanso il proprio raggio d’azione geografico
arrivando a diffondersi anche in Italia.