fbpx

¿Qué es “Chameleon” y por qué tiene asustados a los expertos en ciberseguridad?

La nueva variante del malware “Chameleon” incluye una nueva función para interrumpir las operaciones biométricas en el dispositivo de la víctima, también habilitada mediante un comando específico.

Es importante dar a conocer que una nueva variante del troyano bancario Chameleon para Android presenta nuevas capacidades que le permiten ampliar su área de objetivo, así lo ha informado la firma de detección de fraude en línea ThreatFabric. ¡Todos los detalles sobre este malware los tenemos aquí en TECHcetera!

 

Esto es lo que tiene que conocer sobre Chameleon

 

Ahora este troyano tiene la capacidad de poder “saltar” la verificación específica del dispositivo que se activa cuando se recibe un comando del servidor de comando y control (C&C), que se dirige a las protecciones de “Configuración restringida” implantadas en Android 13.

 

Al recibir el comando, el troyano muestra una página HTML que solicita a la víctima que habilite el servicio de accesibilidad. La página guía a la víctima a través de un proceso manual paso a paso para habilitar el servicio, que posteriormente permite que el malware se apodere del dispositivo atacado.

 

Además, la nueva variante del malware “Chameleon” incluye una nueva función para interrumpir las operaciones biométricas en el dispositivo de la víctima, también habilitada mediante un comando específico.

 

Vale la pena señalar que al recibir el comando, el malware evalúa la pantalla del dispositivo y el estado del protector de teclas, y usa la acción AccessibilityEvent para pasar de la autenticación biométrica a la autenticación con PIN, evitando de esta forma, el aviso biométrico.

 

Activo desde principios de año 2023, Chameleon se dirigió inicialmente a aplicaciones de banca móvil en Australia y Polonia, sin embargo, desde entonces ha extendido su alcance al Reino Unido e Italia.

 

Cabe destacar que cuando se descubrió inicialmente, el malware Chameleon usaba varios registradores, tenía una funcionalidad maliciosa limitada y así mismo, contenía varios comandos no utilizados, lo que sugiere que todavía estaba en desarrollo.

 

Según se conoce, el malware se distribuía mediante páginas de phishing, haciéndose pasar por aplicaciones legítimas y usando una red de distribución de contenido (CDN) legítima para la distribución de archivos.

 

Pero, si hay algo muy importante que señalar es que, ahora, empleando una función de proxy y abusando de los Servicios de Accesibilidad, podría ejecutar acciones en nombre de la víctima, lo que permite a los atacantes poder participar en ataques de apropiación de cuentas (ATO) y así mismo, toma de control de dispositivos (DTO), dirigidos principalmente a aplicaciones bancarias y de criptomonedas.

 

Deja un comentario