Una nueva variante del troyano bancario Chameleon para Android presenta nuevas capacidades que le permiten ampliar su área de objetivo, informa la firma de detección de fraude en línea ThreatFabric.
Así las cosas, ahora este troyano puede ‘saltar’ la verificación específica del dispositivo que se activa cuando se recibe un comando del servidor de comando y control (C&C), que se dirige a las protecciones de "Configuración restringida" introducidas en Android 13.
Al recibir el comando, el troyano muestra una página HTML que pide a la víctima que habilite el servicio de accesibilidad. La página guía a la víctima a través de un proceso manual paso a paso para habilitar el servicio, que luego permite que el malware se apodere del dispositivo atacado.
Además, la nueva variante Chameleon incluye una nueva función para interrumpir las operaciones biométricas en el dispositivo de la víctima, también habilitada a través de un comando específico.
¿Cómo funciona?
Al recibir el comando, el malware evalúa la pantalla del dispositivo y el estado del protector de teclas, y "utiliza la acción AccessibilityEvent para pasar de la autenticación biométrica a la autenticación con PIN", evitando así el aviso biométrico.
"Forzar una alternativa a la autenticación 'estándar' proporciona a los actores clandestinos dos ventajas. En primer lugar, facilita el robo de PIN, contraseñas o claves gráficas a través de funcionalidades de registro de teclas, porque los datos biométricos siguen siendo inaccesibles para estos actores de amenazas. En segundo lugar, aprovechar esta alternativa permite a esos mismos actores desbloquear dispositivos utilizando PIN o contraseñas previamente robados".
Activo desde principios de 2023, Chameleon se dirigió inicialmente a aplicaciones de banca móvil en Australia y Polonia, pero desde entonces ha ampliado su alcance al Reino Unido e Italia.
Cuando se descubrió inicialmente, Chameleon usaba varios registradores, tenía una funcionalidad maliciosa limitada y contenía varios comandos no utilizados, lo que sugiere que todavía estaba en desarrollo.
El malware se distribuía a través de páginas de phishing, haciéndose pasar por aplicaciones legítimas y utilizando una red de distribución de contenido (CDN) legítima para la distribución de archivos.
Ahora, empleando una función de proxy y abusando de los Servicios de Accesibilidad, podría realizar acciones en nombre de la víctima, lo que permite a los atacantes participar en ataques de apropiación de cuentas (ATO) y toma de control de dispositivos (DTO), dirigidos principalmente a aplicaciones bancarias y de criptomonedas.
Ver 0 comentarios