Investigadores de ciberseguridad han descubierto una versión actualizada de un malware bancario para Android llamado Chameleon que ha ampliado su objetivo para incluir a usuarios del Reino Unido e Italia.
"Representando una iteración reestructurada y mejorada de su predecesor, esta variante evolucionada de Chameleon sobresale en la ejecución de Device Takeover (DTO) utilizando el servicio de accesibilidad, todo mientras expande su región objetivo", dijo la firma holandesa de seguridad móvil ThreatFabric en un informe compartido con The Hacker News.
Chameleon fue documentado previamente por Cyble en abril de 2023, señalando que había sido utilizado para seleccionar usuarios en Australia y Polonia desde al menos enero. Al igual que otros programas maliciosos bancarios, se sabe que abusa de sus permisos al servicio de accesibilidad de Android para recopilar datos confidenciales y realizar ataques de superposición.
Las aplicaciones fraudulentas que contenían la versión anterior se alojaban en páginas de phishing y se hicieron pasar por instituciones genuinas de los países, como la Oficina Australiana de Impuestos (ATO) y una plataforma de comercio de criptomonedas llamada CoinSpot, en un intento de darles un velo de credibilidad.
Los últimos hallazgos de ThreatFabric muestran que el troyano bancario se distribuye ahora a través de Zombinder, un dropper-as-a-service (DaaS) que se vende a otros actores de amenazas y que puede utilizarse para "vincular" cargas maliciosas a aplicaciones legítimas.
Aunque se sospechaba que la oferta había sido cerrada a principios de este año, resurgió el mes pasado, anunciando capacidades para eludir la función "Configuración restringida" en Android para instalar malware en los dispositivos y obtener acceso al servicio de accesibilidad.
Los dos artefactos maliciosos que distribuyen Chameleon se hacen pasar por el navegador web Google Chrome. Sus nombres de paquete se enumeran a continuación:
- Z72645c414ce232f45.Z35aad4dde2ff09b48
- com.busy.lady
Una característica notable de la variante mejorada es su capacidad para llevar a cabo el fraude Device Takeover (DTO), que aprovecha el servicio de accesibilidad para realizar acciones no autorizadas en nombre de la víctima.
Pero para engañar a los usuarios para que activen la configuración, el malware comprueba la versión de Android en el dispositivo instalado y si se encuentra que es Android 13 o posterior, pide al usuario que lo active.
"Al recibir la confirmación de que Android 13 Restricted Settings está presente en el dispositivo infectado, el troyano bancario inicia la carga de una página HTML", explicó ThreatFabric. "La página está guiando a los usuarios a través de un proceso manual paso a paso para habilitar el servicio de accesibilidad en Android 13 y superior".
Otra novedad es el uso de las API de Android para interrumpir las operaciones biométricas del dispositivo atacado mediante la transición encubierta del mecanismo de autenticación de la pantalla de bloqueo a un PIN para permitir que el malware "desbloquee el dispositivo a voluntad" utilizando el servicio de accesibilidad.
"La aparición del nuevo troyano bancario Chameleon es otro ejemplo del sofisticado y adaptable panorama de amenazas dentro del ecosistema Android", dijo la compañía. "Evolucionando desde su iteración anterior, esta variante demuestra una mayor resistencia y nuevas características avanzadas".
Esta evolución se produce cuando Zimperium ha revelado que 29 familias de malware - 10 de ellas nuevas - atacaron 1.800 aplicaciones bancarias en 61 países durante el año pasado. Las nuevas familias activas incluyen Nexus, Godfather, PixPirate, Saderat, Hook, PixBankBot, Xenomorph v3, Vultur, BrasDex y GoatRAT.
Los principales países objetivo son Estados Unidos (109 aplicaciones bancarias), Reino Unido (48), Italia (44), Australia (34), Turquía (32), Francia (30), España (29), Portugal (27), Alemania (23), Canadá (17) y Brasil (11). Las aplicaciones de servicios financieros más atacadas son PhonePe (India), WeChat, Bank of America, Well Fargo, (EE.UU.), Binance (Malta), Barclays (Reino Unido), QNB Finansbank (Turquía) y CaixaBank (España).
"Las aplicaciones bancarias tradicionales siguen siendo el principal objetivo, con la asombrosa cifra de 1103 aplicaciones, que representan el 61% de los objetivos, mientras que las aplicaciones emergentes de FinTech y Trading están ahora en el punto de mira, con el 39% restante", afirma la empresa.
Fuente: thehackernews