Chameleon es un malware capaz de bloquear el registro biométrico de los dispositivos Android, e incluso la huella dactilar, para obligar al usuario a introducir su número PIN o contraseña y acceder a sus cuentas sin autorización. Su objetivo principal son las aplicaciones móviles bancarias y se distribuye a través de páginas de ‘phishing’ fraudulentas de servicios legítimos. Fue descubierto por la empresa de ciberseguridad ‘ThreatFabric’ en enero de 2023. Los expertos recomiendan estar en alerta, sobre todo en Navidad, donde las ciberestafas se disparan.
A principios de año, este troyano se encontraba en fase de desarrollo inicial y presentaba funcionalidades maliciosas limitadas. Según la compañía de ciberseguridad, por ese entonces ya “insinuaba un claro potencial para una mayor evolución e impacto”.
Los investigadores señalan a este malware por su capacidad de manipular el dispositivo afectado y ejecutar acciones en su nombre a través de una función de proxy, lo que permite realizar ataques de apropiación de cuentas (ATO) y de apropiación de dispositivos (DTO). Dichos ataques iban dirigidos a aplicaciones bancarias y a servicios de criptomonedas. Eran capaces de abusar de los privilegios del Servicio de Accesibilidad.
Para distribuirlo, los agentes maliciosos lo disfrazaban de servicios legítimos, como la Oficina de Impuestos de Australia (ATO), a través de páginas de 'phishing', por lo que las víctimas podían creer que se trataba de enlaces confiables. Ahora, ha ampliado sus características y su línea de ataque a usuarios de Android en Reino Unido e Italia.
Esta nueva variante se distribuye a través de la plataforma maliciosa ‘Zombinder’ e introduce funciones avanzadas como, por ejemplo, hacerse pasar por aplicaciones de Google Chrome. Así, ha incorporado la capacidad de omitir indicaciones biométricas. Es decir, puede interrumpir el reconocimiento de la huella dactilar del dispositivo al bloquearlo, de modo que obliga a los usuarios a indicar el patrón, PIN o contraseña de acceso a la aplicación bancaria.
El troyano puede desbloquear el terminal a voluntad sin autorización de las víctimas y sin la protección correspondiente a los sistemas de autenticación biométrica, ya que roba las credenciales. La empresa ThreatFabric advierte que este troyano puede hacerse con el control del sistema y programar tareas empleando la interfaz de programación de aplicaciones (API) AlarmManager, una habilidad con la que no contaba en su desarrollo inicial.
Esta variante más sofisticada muestra una página HTML en dispositivos Android con la versión 13 y versiones posteriores del sistema operativo afectados, a quienes solicita que habiliten el servicio de Accesibilidad. Gracias a ello, puede ejecutar ataques DTO. Los expertos han señalado que este nuevo troyano es el ejemplo de las amenazas que se adaptan al ecosistema Android.
Síguenos en nuestro canal de WhatsApp y conoce toda la actualidad al momento.