Los investigadores de seguridad han descubierto una nueva variante del malware Chameleon para Android, un troyano bancario que ha estado en circulación desde principios de 2023. La última variante viene con características adicionales que pueden causar más daño a la víctima. El malware también emplea nuevas tácticas para evitar la detección.
El malware Chameleon para Android resurge con nuevas funciones
El malware Android Chameleon fue detectado por primera vez en enero de este año. Según informó la empresa de ciberseguridad Threat Fabric, el troyano se dirigió a usuarios de Australia y Polonia. Se hizo pasar por agencias gubernamentales australianas, bancos y el intercambio de criptomonedas CoinSpot para engañar a usuarios desprevenidos. Una vez activo en un dispositivo comprometido, el malware podría realizar registros de teclas, inyección de superposiciones, robo de cookies y robo de SMS, entre otras cosas.
La empresa había predicho una variante más poderosa del troyano y ahora ha surgido. La nueva versión ya se ha visto en acción en Italia y Reino Unido. Las mentes maliciosas detrás del malware lo distribuyen a través del servicio Zombinder haciéndose pasar por Google Chrome. El servicio adjunta malware a aplicaciones originales de Android de manera tan limpia que incluso puede eludir las advertencias y el software antivirus de Google Protect.
La aplicación en cuestión también ofrece las mismas funciones que la versión original libre de malware. Esto significa que los usuarios no tienen motivos para sospechar que haya algún problema con su aplicación. Sin embargo, detrás de escena, el troyano puede realizar varias funciones maliciosas que pueden causarle daños graves. Con sus nuevas características, el daño puede ser más dañino que el que podría causar la variante original del malware Chameleon para Android.
La firma de ciberseguridad informa que el troyano puede responder dinámicamente a la versión del sistema operativo del dispositivo. En dispositivos con Android 13 y versiones posteriores, que tienen permisos de aplicaciones más restrictivos, muestra una página HTML y requiere que los usuarios habiliten el servicio de accesibilidad. De hecho, evita las restricciones del sistema para obtener privilegios adicionales de los que abusa para robar información que se muestra en la pantalla.
También puede eludir la autenticación biométrica.
La otra característica nueva del malware Chameleon actualizado es la capacidad de ignorar sugerencias biométricas. Aproveche los servicios de accesibilidad para obligar a los usuarios a autenticarse mediante PIN, patrón o contraseña. Dado que los atacantes no pueden acceder a los datos biométricos, como las huellas dactilares y el desbloqueo facial, esta táctica les permite robar el PIN, el patrón o la contraseña de un usuario mediante el registro de teclas. Luego pueden desbloquear su dispositivo de forma remota en cualquier momento y realizar actividades maliciosas.
La nueva variante Chameleon también puede realizar la programación de tareas utilizando la API AlarmManager. Si bien la programación de tareas es común entre los troyanos, esta variante particular adopta un enfoque dinámico. El malware Chameleon para Android puede detectar si la accesibilidad está habilitada o deshabilitada y adaptarse en consecuencia. Estas características permiten al malware determinar el mejor momento para iniciar la actividad de superposición o inyección.
“Estas mejoras aumentan la sofisticación y adaptabilidad de la nueva variante Chameleon, convirtiéndola en una amenaza más potente en el cambiante panorama de los troyanos bancarios móviles”, advierten los expertos en seguridad de ThreatFabric. La mejor manera de mantener a raya el malware es evitar instalar aplicaciones (archivos APK) de fuentes desconocidas. Siempre debes descargar aplicaciones de plataformas confiables como Google Play Store.