I ricercatori di sicurezza informatica della la società olandese di sicurezza mobile ThreatFabric hanno scoperto una versione aggiornata del trojan bancario Android Chameleon che ha ampliato il suo target prendendo di mira utenti nel Regno Unito e in Italia.
Chameleon
Chameleon documentato nell’aprile 2023 da Cyble è noto che abusi del servizio di accessibilità di Android per raccogliere dati sensibili e condurre attacchi di tipo ATO (Account Takeover) e DTO (Device Takeover), propinando come legittime false applicazioni di mobile banking distribuite attraverso pagine di phishing e una rete CDN per la distribuzione dei file. La variante precedente ha preso di mira in particolare l’Australia e la Polonia con applicazioni bancarie (banca IKO polacca) e servizi di criptovaluta (CoinSpot) .
La variante evoluta
L’ultimo rapporto di ThreatFabric mostra che la variante evoluta del trojan bancario, pur mantenendo ancora la funzionalità Device Takeover (DTO), viene ora distribuita tramite Zombinder (un dropper disponibile come servizio nei mercati underground) con artefatti che distribuiscono Chameleon mascherandosi da browser web Google Chrome (Z72645c414ce232f45.Z35aad4dde2ff09b48, com.busy.lady).
“Questa variante appena scoperta continua le sue attività dannose, inclusa la funzionalità Device Takeover (DTO) attraverso il servizio di accessibilità. Distribuiti tramite Zombinder, gli esempi di questa nuova variante mostrano un modus operandi coerente introducendo funzionalità avanzate. In particolare, vengono spesso distribuiti fingendosi app di Google Chrome.“, commentano i ricercatori.
Nuove capacità adattative
Tra le altre novità figurano la possibilità di visualizzare una pagina HTML per richiedere l’abilitazione del servizio di accessibilità nei dispositivi che implementano la funzione d’impostazioni limitate di Android 13 e di ignorare le operazioni biometriche. In particolare per indurre gli utenti ad abilitare l’impostazione di accessibilità, il malware controlla dapprima la versione di Android sul dispositivo installato e, se risulta essere Android 13 o versione successiva, chiede all’utente di attivarla.
“Dopo aver ricevuto la conferma della presenza delle Impostazioni limitate di Android 13 sul dispositivo infetto, il trojan bancario avvia il caricamento di una pagina HTML.”, si legge nel rapporto. “La pagina guida gli utenti attraverso un processo manuale passo passo per abilitare il servizio di accessibilità su Android 13 e versioni successive.“.
Invece, per aggirare completamente la protezione biometrica del dispositivo preso di mira (i dati biometrici della vittima rimangano fuori dalla portata degli autori della minaccia), Chameleon abusa delle API Android forzando il passaggio dall’autenticazione biometrica all’autenticazione tramite PIN in modo da consentirgli di sbloccare il dispositivo a piacimento utilizzando il servizio di accessibilità.
L’impatto sulla sicurezza mobile
Questa evoluzione strategica solleva notevoli preoccupazioni nella comunità cyber. L’abilità del trojan nell’imitare app affidabili e le nuove capacità adattative della sua ultima iterazione ne aumenta senza dubbio il potenziale impatto, sottolineando l’importanza di tale minaccia sofisticata nel panorama della sicurezza mobile.