Attenzione a Chameleon, il trojan per Android che disabilita le misure biometriche per rubare il PIN
Si spaccia per Google Chrome e viene installato abbinandosi ad un'app legittima. La tecnica d'azione è subdola, e si è diffuso anche in Italia
di Andrea Bai pubblicata il 21 Dicembre 2023, alle 17:26 nel canale SicurezzaChameleon è un trojan bancario che colpisce gli smartphone Android e che sfrutta una particolare tecnica, subdola e sottile, per poter prendere il controllo dei dispositivi che infetta. Il trojan disabilita infatti i sistemi di sicurezza biometrici, che siano lettori di impronte digitali o soluzioni di riconoscimento facciale, per indurre la vittima ad utilizzare il PIN e riuscire, in questo modo, a registrarlo.
Il malware si spaccia per Google Chrome e viene diffuso sfruttando Zombinder. Quest'ultimo è un meccanismo che permette di abbinare il malware alle app Android legittime così che l'utente possa utilizzare appieno l'app desiderata, che viene regolarmente installata, e non sospettando la presenza di codice dannoso in esecuzione in background.
Su Android 13 e versioni successive Chameleon può visualizzare una pagina HTML per ingannare l'utente a concedere il permesso ai servizi di accessibilità così da poter disabilitare i sistemi di sicurezza biometrici.
Fonte: Threat Fabric
Quando l'utente, per sbloccare il telefono o qualsiasi servizio protetto dall'autenticazione biometrica, è costretto ad inserire un PIN o una password, Chamelelon registra le informazioni inserite dall'utente, così da utilizzarle in seguito per eseguire attività dannose passando inosservato.
Chameleon può inoltre pianificare i task da eseguire usando l'API AlarmManager per gestire i periodi di attività e stabilire quali azioni compiere. A seconda delle condizioni dello smartphone, il malware si adatta al lancio di attacchi overlay o alla raccolta di dati sull'utilizzo delle app per decidere il momento migliore per agire.
La minaccia Chameleon può essere aggirata evitando di installare APK non provenienti da fonti ufficiali, dal momento che Zombinder viene distribuito principalmente tramite canali non affidabili. Inoltre è sempre bene prestare attenzione alle richieste di permessi ai servizi di Accessibilità prima di concedere l'autorizzazione.
Chameleon era già stato individuato in una variante precedente nel mese di aprile, quando si spacciava per app bancarie e per la piattaforma di criptovalute CoinSpot, effettuando operazioni di keylogging, furto di cookie di sessione e furto di SMS sui dispositivi compromessi. La nuova variante di Chameleon ha espanso il proprio raggio d'azione geografico arrivando a diffondersi anche in Italia.
2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoMolta gente cerca ad esempio di installare what's up alternativo ecc..
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".