I ricercatori di ThreatFabric hanno individuato una nuova versione di Chameleon, un trojan bancario per Android apparso per la prima volta a gennaio 2023. I cybercriminali hanno aggiunto altre funzionalità avanzate, come quella che consente di disattivare l’autenticazione biometrica e di rubare il PIN.
Chameleon disattiva l’impronta digitale
Come ha scoperto i ricercatori di Cyble ad aprile, Chameleon può eseguire diverse attività, tra cui il furto del PIN e dei codici OTP dell’autenticazione in due fattori inviati via SMS. Gli esperti di ThreatFabric hanno individuato una nuova versione del trojan bancario che viene distribuita tramite il servizio Zombinder. All’elenco dei paesi target sono stati aggiunti anche Regno Unito e Italia.
Il malware viene camuffato da Google Chrome e può aggirare i controlli di Google Play Protect. In Android 13 e 14 è stata aggiunta la funzionalità “Impostazioni con limitazioni” che blocca l’attivazione dei servizi di accessibilità sfruttati dal malware. Quando Chameleon rileva queste versioni del sistema operativo mostra una pagina HTML che guida l’ignara vittima nell’attivazione dei servizi di accessibilità, aggirando la protezione.
La seconda funzionalità consente di disattivare l’autenticazione biometrica (impronta digitale o riconoscimento facciale) per costringere l’utente ad usare PIN, sequenza o password come soluzione di sblocco. PIN e password vengono così facilmente rubati, permettendo di ottenere il controllo del dispositivo.
Infine, la nuova versione del trojan include un task scheduler per la gestione delle attività. È chiaro che Chameleon viene continuamente aggiornato. Gli utenti devono prestare molta attenzione alle app scaricate, soprattutto da fonti non ufficiali.