I ricercatori di Cyble hanno individuato un nuovo trojan bancario per Android, denominato Chameleon, che colpisce soprattutto gli utenti in Polonia e Australia attraverso app fasulle. Queste ultime sono distribuite tramite siti compromessi, allegati Discord e il servizio di hosting Bitbucket. I trojan bancari per Android sono un tipo di malware molto diffuso che permette ai cybercriminali di rubare dati sensibili con un minimo investimento iniziale.
Attenzione al camaleonte per Android
I primi attacchi sono stati rilevati a gennaio 2023. Chameleon si mimetizza con l’uso di icone di note app o aziende, tra cui Chrome, Bitcoin e OpenAI. Il malware è in sviluppo, quindi le tecniche sfruttate per rubare le credenziali sono ancora poche. All’avvio verifica se il dispositivo è rooted o se è attiva la modalità di debugging che potrebbe indicare la presenza di un ambiente di analisi del codice.
Successivamente chiede alla vittima di attivare il servizio di accessibilità per ottenere privilegi elevati, impedire la sua disinstallazione e disattivare Play Protect. Nel frattempo si collega al server C&C (command and control) per inviare le informazioni del dispositivo.
Subito dopo inizia le sue attività: apre il sito legittimo di CoinSpot e ruba i cookie, registra i tasti premuti (keylogger), inietta il codice HTML delle pagine di phishing nelle app per mostrare un’interfaccia simile, ruba password e PIN usati per lo sblocco, intercetta i codici OTP dell’autenticazione in due fattori inviati via SMS e scarica un payload aggiuntivo (attualmente non utilizzato).
Cyble consiglia di scaricare le app solo dal Google Play Store, installare un antivirus, usare password robuste, sfruttare l’autenticazione biometrica, prestare attenzione ai permessi, non cliccare sui link ricevuti via SMS o email e mantenere sistema operativo e app aggiornati.