Variante del troyano bancario Chameleon para Android burla la autenticación biométrica

Investigadores de ciberseguridad han descubierto una versión actualizada de un malware bancario para Android llamado Camaleón que ha expandido su alcance para incluir a usuarios en el Reino Unido e Italia.

«Representando una iteración reestructurada y mejorada de su predecesor, esta variante evolucionada de Camaleón sobresale en la ejecución de la apropiación de dispositivos (DTO) utilizando el servicio de accesibilidad, todo mientras expande su región objetivo», dijo la firma holandesa de seguridad móvil ThreatFabric en un informe compartido con este medio.

Camaleón fue previamente documentado por Cyble en abril de 2023, destacando que había sido utilizado para seleccionar usuarios en Australia y Polonia desde al menos enero. Al igual que otros malwares bancarios, se sabe que abusa de sus permisos para el servicio de accesibilidad de Android para recopilar datos sensibles y realizar ataques de overlay.

Las aplicaciones maliciosas que contienen la versión anterior estaban alojadas en páginas de phishing y se encontró que se hacían pasar por instituciones genuinas en los países, como la Oficina de Impuestos de Australia (ATO) y una plataforma de comercio de criptomonedas llamada CoinSpot, en un intento de darles un velo de credibilidad.

Los últimos hallazgos de ThreatFabric muestran que el troyano bancario ahora se entrega a través de Zombinder, un dropper-as-a-service (DaaS) de software sin autorización que se vende a otros actores malintencionados y que se puede utilizar para «vincular» cargas útiles maliciosas a aplicaciones legítimas.

PRÓXIMO WEBINAR

De Usuario a Administrador: Aprenda cómo los hackers obtienen el control total

Descubra las tácticas secretas que los hackers utilizan para convertirse en administradores, cómo detectar y bloquear antes de que sea demasiado tarde. Regístrese en nuestro webinar hoy. Inscríbase ahora

Aunque se sospechaba que la oferta había sido cerrada a principios de este año, resurgió el mes pasado, anunciando capacidades para evitar la función de «Configuraciones restringidas» en Android para instalar malware en dispositivos y obtener acceso al servicio de accesibilidad.

Ambos artefactos maliciosos que distribuyen Camaleón se hacen pasar por el navegador web Google Chrome. Sus nombres de paquete se enumeran a continuación –

Z72645c414ce232f45.Z35aad4dde2ff09b48

com.busy.lady

Una característica notable de la variante mejorada es su capacidad para realizar fraudes de apropiación de dispositivos, que aprovecha el servicio de accesibilidad para realizar acciones no autorizadas en nombre de la víctima.

Pero para engañar a los usuarios para que habiliten la configuración, el malware verifica la versión de Android en el dispositivo instalado y si se encuentra que es Android 13 o posterior, le pide al usuario que la active.

«Al recibir la confirmación de que Configuraciones restringidas de Android 13 están presentes en el dispositivo infectado, el troyano bancario inicia la carga de una página HTML», explicó ThreatFabric. «La página guía a los usuarios a través de un proceso manual paso a paso para habilitar el servicio de accesibilidad en Android 13 y superiores.»

Otra nueva adición es el uso de las API de Android para interrumpir las operaciones biométricas del dispositivo objetivo, cambiando de forma encubierta el mecanismo de autenticación de la pantalla de bloqueo a un PIN para permitir que el malware «desbloquee el dispositivo a voluntad» utilizando el servicio de accesibilidad.

Google dijo a este medio que su función Play Protect, que está habilitada de forma predeterminada en los dispositivos con Google Play Services, protege a los usuarios de la amenaza.

«La aparición del nuevo troyano bancario Camaleón es otro ejemplo del sofisticado y adaptativo panorama de amenazas dentro del ecosistema de Android», dijo la compañía. «Evolucionando desde su iteración anterior, esta variante demuestra una mayor resistencia y nuevas características avanzadas».

El desarrollo se produce como Zimperium reveló que 29 familias de malware -10 de ellas nuevas- apuntaron a 1,800 aplicaciones bancarias en 61 países en el último año. Las nuevas familias activas incluyen Nexus, Godfather, PixPirate, Saderat, Hook, PixBankBot, Xenomorph v3, Vultur, BrasDex y GoatRAT.

Los principales países objetivo de EE.UU. comprenden los EE.UU. (109 aplicaciones bancarias), el Reino Unido (48), Italia (44), Australia (34), Turquía (32), Francia (30), España (29), Portugal (27), Alemania (23), Canadá (17) y Brasil (11). Las aplicaciones de servicios financieros más apuntadas son PhonePe (India), WeChat, Bank of America, Wells Fargo (EE.UU.), Binance (Malta), Barclays (Reino Unido), QNB Finansbank (Turquía) y CaixaBank (España).

«Las aplicaciones bancarias tradicionales siguen siendo el objetivo principal, con un asombroso 1103 aplicaciones, lo que representa el 61% de los objetivos, mientras que las aplicaciones emergentes de FinTech y Trading ahora están en la mira, representando el 39% restante», dijo la compañía.

(La historia se actualizó después de la publicación para incluir una respuesta de Google).