Si spaccia per Google Chrome e viene installato abbinandosi ad un’app legittima. La tecnica d’azione è subdola, e si è diffuso anche in Italia. L’articolo è di di Andrea Bai, pubblicato sul sito italiano sulla tecnologia “Hardware Upgrade”- “Quotidiano Nazionale”
Chameleon è un trojan bancario che colpisce gli smartphone Android e che sfrutta una particolare tecnica, subdola e sottile, per poter prendere il controllo dei dispositivi che infetta. Il trojan disabilita infatti i sistemi di sicurezza biometrici, che siano lettori di impronte digitali o soluzioni di riconoscimento facciale, per indurre la vittima ad utilizzare il PIN e riuscire, in questo modo, a registrarlo.
Il malware si spaccia per Google Chrome e viene diffuso sfruttando Zombinder. Quest’ultimo è un meccanismo che permette di abbinare il malware alle app Android legittime così che l’utente possa utilizzare appieno l’app desiderata, che viene regolarmente installata, e non sospettando la presenza di codice dannoso in esecuzione in background.
Su Android 13 e versioni successive Chameleon può visualizzare una pagina HTML per ingannare l’utente a concedere il permesso ai servizi di accessibilità così da poter disabilitare i sistemi di sicurezza biometrici.
Quando l’utente, per sbloccare il telefono o qualsiasi servizio protetto dall’autenticazione biometrica, è costretto ad inserire un PIN o una password, Chamelelon registra le informazioni inserite dall’utente, così da utilizzarle in seguito per eseguire attività dannose passando inosservato.
Chameleon può inoltre pianificare i task da eseguire usando l’API AlarmManager per gestire i periodi di attività e stabilire quali azioni compiere. A seconda delle condizioni dello smartphone, il malware si adatta al lancio di attacchi overlay o alla raccolta di dati sull’utilizzo delle app per decidere il momento migliore per agire.
La minaccia Chameleon può essere aggirata evitando di installare APK non provenienti da fonti ufficiali, dal momento che Zombinder viene distribuito principalmente tramite canali non affidabili. Inoltre è sempre bene prestare attenzione alle richieste di permessi ai servizi di Accessibilità prima di concedere l’autorizzazione.
Chameleon era già stato individuato in una variante precedente nel mese di aprile, quando si spacciava per app bancarie e per la piattaforma di criptovalute CoinSpot, effettuando operazioni di keylogging, furto di cookie di sessione e furto di SMS sui dispositivi compromessi. La nuova variante di Chameleon ha espanso il proprio raggio d’azione geografico arrivando a diffondersi anche in Italia.
Fonte: “Hardware Upgrade”- “Quotidiano Nazionale”
Operatore dell’informazione. Attivista culturale impegnato a scoprire, analizzare, descrivere e diffondere avvenimenti di vita locale quotidiana
