Investigadores de ciberseguridad han descubierto una versión actualizada de un malware bancario para Android llamado Chameleon que ha ampliado su objetivo para incluir usuarios en el Reino Unido e Italia.
«Representando una iteración reestructurada y mejorada de su predecesor, esta variante Chameleon evolucionada sobresale en la ejecución de Device Takeover (DTO) usando el servicio de accesibilidad, al mismo tiempo que expande su región objetivo», dijo la firma holandesa de seguridad móvil ThreatFabric. dicho en un informe compartido con The Hacker News.
Chameleon fue documentado previamente por Cyble en abril de 2023, señalando que se había utilizado para identificar usuarios en Australia y Polonia desde al menos enero. Al igual que otros programas maliciosos bancarios, se sabe que abusa de sus permisos en el servicio de accesibilidad de Android para recopilar datos confidenciales y realizar ataques de superposición.
Las aplicaciones fraudulentas que contenían la versión anterior estaban alojadas en páginas de phishing y se descubrió que se hacían pasar por instituciones genuinas de los países, como la Oficina de Impuestos de Australia (ATO) y una plataforma de comercio de criptomonedas llamada CoinSpot, en un intento de darles un velo de credibilidad.
Los últimos hallazgos de ThreatFabric muestran que el troyano bancario ahora se entrega a través de Zombinder, un cuentagotas como servicio (DaaS) disponible en el mercado que se vende a otros actores de amenazas y que puede usarse para «vincular» cargas útiles maliciosas. a aplicaciones legítimas.
Supere las amenazas impulsadas por la IA con confianza cero: seminario web para profesionales de la seguridad
Las medidas de seguridad tradicionales no son suficientes en el mundo actual. Es hora de adoptar la seguridad Zero Trust. Proteja sus datos como nunca antes.
Aunque se sospechaba que la oferta había sido cerrada a principios de este año, resurgió el mes pasado, anunciando capacidades para eludir la función ‘Configuración restringida’ en Android para instalar malware en dispositivos y obtener acceso al servicio de accesibilidad.
Ambos artefactos maliciosos que distribuyen Chameleon se hacen pasar por el navegador web Google Chrome. Los nombres de sus paquetes se enumeran a continuación:
- Z72645c414ce232f45.Z35aad4dde2ff09b48
- com.ocupada.lady
Una característica notable de la variante mejorada es su capacidad para realizar fraude de adquisición de dispositivo (DTO), que aprovecha el servicio de accesibilidad para realizar acciones no autorizadas en nombre de la víctima.
Pero para engañar a los usuarios para que habiliten la configuración, el malware comprueba la versión de Android en el dispositivo instalado y, si descubre que es Android 13 o posterior, solicita al usuario que la encienda.
«Al recibir la confirmación de que la configuración restringida de Android 13 está presente en el dispositivo infectado, el troyano bancario inicia la carga de una página HTML», explicó ThreatFabric. «La página guía a los usuarios a través de un proceso manual paso a paso para habilitar el servicio de accesibilidad en Android 13 y superior».
Otra nueva incorporación es el uso de API de Android para interrumpir las operaciones biométricas del dispositivo objetivo mediante la transición encubierta del mecanismo de autenticación de la pantalla de bloqueo a un PIN para permitir que el malware «desbloquee el dispositivo a voluntad» utilizando el servicio de accesibilidad.
«La aparición del nuevo troyano bancario Chameleon es otro ejemplo del panorama de amenazas sofisticado y adaptable dentro del ecosistema Android», dijo la compañía. «Esta variante, que evoluciona a partir de su versión anterior, demuestra una mayor resistencia y nuevas características avanzadas».
El desarrollo se produce cuando Zimperium reveló que 29 familias de malware (10 de ellas nuevas) atacaron 1.800 aplicaciones bancarias en 61 países durante el año pasado. Las nuevas familias activas incluyen Nexus, Godfather, PixPirate, Saderat, Hook, PixBankBot, Xenomorph v3, Vultur, BrasDex y GoatRAT.
Los principales países objetivo de EE. UU. son EE. UU. (109 aplicaciones bancarias), Reino Unido (48), Italia (44), Australia (34), Turquía (32), Francia (30), España (29), Portugal (27). Alemania (23), Canadá (17) y Brasil (11). Las aplicaciones de servicios financieros más específicas son PhonePe (India), WeChat, Bank of America, Well Fargo (EE. UU.), Binance (Malta), Barclays (Reino Unido), QNB Finansbank (Turquía) y CaixaBank (España).
«Las aplicaciones bancarias tradicionales siguen siendo el objetivo principal, con la asombrosa cifra de 1.103 aplicaciones, que representan el 61% de los objetivos, mientras que las aplicaciones FinTech y Trading emergentes están ahora en la mira, representando el 39% restante», dijo la empresa. dicho.