Attenzione a Chameleon, il trojan per Android che disabilita le misure biometriche per rubare il PIN
Si spaccia per Google Chrome e viene installato abbinandosi ad un'app legittima. La tecnica d'azione è subdola, e si è diffuso anche in Italia
di Andrea Bai pubblicata il 21 Dicembre 2023, alle 17:26 nel canale SicurezzaChameleon è un trojan bancario che colpisce gli smartphone Android e che sfrutta una particolare tecnica, subdola e sottile, per poter prendere il controllo dei dispositivi che infetta. Il trojan disabilita infatti i sistemi di sicurezza biometrici, che siano lettori di impronte digitali o soluzioni di riconoscimento facciale, per indurre la vittima ad utilizzare il PIN e riuscire, in questo modo, a registrarlo.
Il malware si spaccia per Google Chrome e viene diffuso sfruttando Zombinder. Quest'ultimo è un meccanismo che permette di abbinare il malware alle app Android legittime così che l'utente possa utilizzare appieno l'app desiderata, che viene regolarmente installata, e non sospettando la presenza di codice dannoso in esecuzione in background.
Su Android 13 e versioni successive Chameleon può visualizzare una pagina HTML per ingannare l'utente a concedere il permesso ai servizi di accessibilità così da poter disabilitare i sistemi di sicurezza biometrici.
Fonte: Threat Fabric
Quando l'utente, per sbloccare il telefono o qualsiasi servizio protetto dall'autenticazione biometrica, è costretto ad inserire un PIN o una password, Chamelelon registra le informazioni inserite dall'utente, così da utilizzarle in seguito per eseguire attività dannose passando inosservato.
Chameleon può inoltre pianificare i task da eseguire usando l'API AlarmManager per gestire i periodi di attività e stabilire quali azioni compiere. A seconda delle condizioni dello smartphone, il malware si adatta al lancio di attacchi overlay o alla raccolta di dati sull'utilizzo delle app per decidere il momento migliore per agire.
La minaccia Chameleon può essere aggirata evitando di installare APK non provenienti da fonti ufficiali, dal momento che Zombinder viene distribuito principalmente tramite canali non affidabili. Inoltre è sempre bene prestare attenzione alle richieste di permessi ai servizi di Accessibilità prima di concedere l'autorizzazione.
Chameleon era già stato individuato in una variante precedente nel mese di aprile, quando si spacciava per app bancarie e per la piattaforma di criptovalute CoinSpot, effettuando operazioni di keylogging, furto di cookie di sessione e furto di SMS sui dispositivi compromessi. La nuova variante di Chameleon ha espanso il proprio raggio d'azione geografico arrivando a diffondersi anche in Italia.
DLSS 4.5: con Dynamic Frame Generation e MFG 6X NVIDIA alza la posta
Plaud NotePin S, il registratore IA si fa indossabile (ma è facile da perdere)
Redmi Watch 6 in prova: lo smartwatch con ampio display da 2000 nit a meno di 100 euro
WWDC 26: Il Digital Markets Act dell'Unione Europea frena l'arrivo del nuovo Siri AI su iOS 27 e iPadOS 27
WWDC 26: Apple Intelligence rivoluziona Image Playground con immagini fotorealistiche e cloud privato
Siri AI arriva alla WWDC 2026: nuove capacità conversazionali su tutti i dispositivi, visual intelligence, scrittura assistita 
Alla WWDC 2026 arriva la nuova architettura per Apple Intelligence: modelli co-sviluppati con Google 
Tra schede madri, schede video e IA le novità Sapphire al Computex 2026
Nintendo,multa da 35 milioni di euro in Francia per via dei Joy-Con difettosi
L'amministrazione Trump valuta una partecipazione in OpenAI: l'obiettivo è rafforzare il controllo sull'IA
WWDC 26: Apple rinnova il controllo parentale con Ask to Browse, nuovi limiti di tempo e Screen Time ridisegnato
Apple al WWDC 26 presenta iOS 27: Liquid Glass personalizzabile con slider, AirDrop all'80% più rapido e iCloud condiviso con Android
Xbox, alla fine, dà ragione a PlayStation: si ritorna alle esclusive, solo i live-service multipiattaforma
Minecraft Dungeons 2: Microsoft ha annunciato la data dell'action RPG accessibile a tutti
Synology al Computex 2026: nuova generazione DSM con IA agentica e cloud privato Bee Series
Quobly raccoglie 115 milioni di euro per finanziare lo sviluppo dei computer quantistici
BYD batte sul tempo Tesla Roadster: avvistata la Denza Z, lancio tra poche settimane
2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoMolta gente cerca ad esempio di installare what's up alternativo ecc..
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".