El nuevo malware Chameleon para Android imita aplicaciones bancarias, gubernamentales y de criptomonedas

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Un nuevo troyano para Android llamado “Chameleon” ha estado atacando a usuarios de Australia y Polonia desde principios de año, imitando la bolsa de criptomonedas CoinSpot, una agencia gubernamental australiana y el banco IKO.

El malware para móviles fue descubierto por la empresa de ciberseguridad Cyble, que informa de su distribución a través de sitios web comprometidos, archivos adjuntos de Discord y servicios de alojamiento Bitbucket.

Chameleon incluye una amplia gama de funciones maliciosas, como el robo de credenciales de usuario a través de inyecciones superpuestas y el registro de teclas, cookies y mensajes de texto SMS desde el dispositivo infectado.

Al iniciarse, el malware realiza una serie de comprobaciones para evitar ser detectado por el software de seguridad.

Estas comprobaciones incluyen comprobaciones antiemulación para detectar si el dispositivo está rooteado y la depuración está activada, lo que aumenta la probabilidad de que la aplicación se esté ejecutando en el entorno de un analista.

Si el entorno parece limpio, la infección continúa y Chameleon solicita a la víctima que le permita utilizar el Servicio de Accesibilidad, del que abusa para concederse permisos adicionales, desactivar Google Play Protect e impedir que el usuario la desinstale.

En la primera conexión con el C2, Chameleon envía la versión del dispositivo, el modelo, el estado root, el país y la ubicación exacta, probablemente para perfilar la nueva infección.

A continuación, dependiendo de la entidad por la que se haga pasar el malware, abre su URL legítima en una WebView y comienza a cargar módulos maliciosos en segundo plano.

Estos incluyen un ladrón de cookies, un keylogger, un inyector de páginas de phishing, un capturador de PIN/patrón de la pantalla de bloqueo y un ladrón de SMS que puede arrebatar contraseñas de un solo uso y ayudar a los atacantes a eludir las protecciones 2FA.

La mayoría de estos sistemas de robo de datos se basan en el abuso de los Servicios de Accesibilidad para funcionar como es debido, permitiendo al malware monitorizar el contenido de la pantalla, vigilar eventos específicos, intervenir para modificar elementos de la interfaz o enviar determinadas llamadas a la API según sea necesario.

También se abusa del mismo servicio del sistema para impedir la desinstalación del malware, identificando cuando la víctima intenta eliminar la app maliciosa y borrando sus variables de preferencias compartidas para que parezca que ya no está presente en el dispositivo.

Info – Ciberseguridad Latam

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *