Malware Chameleon para Android desativa o desbloqueio biométrico para roubar PINs
21 de Dezembro de 2023

O trojan bancário Chameleon para Android ressurgiu com uma nova versão que usa uma técnica difícil de tomar o controle dos dispositivos - desativar o desbloqueio por impressão digital e rosto para roubar os PINs dos dispositivos.

Ele faz isso usando uma manobra na página em HTML para obter acesso ao serviço de acessibilidade e um método para interromper as operações biométricas para roubar PINs e desbloquear o dispositivo à vontade.

Versões anteriores do Chameleon, detectadas em abril deste ano, se disfarçaram como agências governamentais australianas, bancos e a bolsa de criptomoedas CoinSpot, realizando atalhos de teclas, injeção de overlay, roubo de cookies e roubo de SMS em dispositivos comprometidos.

Pesquisadores do ThreatFabric, que têm acompanhado o malware, relatam que ele está atualmente sendo distribuído pelo serviço Zombinder, se passando pelo Google Chrome.

O Zombinder "cola" malwares em aplicativos Android legítimos para que as vítimas possam desfrutar da funcionalidade completa do aplicativo que pretendiam instalar, tornando menos provável suspeitar que um código perigoso está sendo executado em segundo plano.

A plataforma alega que seus pacotes maliciosos são indetectáveis em tempo de execução, contornando os alertas do Google Protect e evitando quaisquer produtos antivírus que estejam rodando no dispositivo infectado.

O primeiro novo recurso visto na última variante do Chameleon é a capacidade de exibir uma página HTML em dispositivos que executam o Android 13 ou posterior, solicitando às vítimas que concedam ao aplicativo permissão para usar o serviço de acessibilidade.

O Android 13 e versões posteriores são protegidos por um recurso de segurança chamado "Configurações restritas", que bloqueia a aprovação de permissões perigosas, como a acessibilidade, que o malware pode aproveitar para roubar conteúdo na tela, conceder a si mesmo permissões adicionais e realizar gestos de navegação.

Quando o Chameleon detecta Android 13 ou 14 ao inicializar, ele carrega uma página HTML que guia o usuário através de um processo manual para habilitar a acessibilidade para o aplicativo, contornando a proteção do sistema.

O segundo novo recurso notável é a capacidade de interromper as operações biométricas no dispositivo, como desbloqueio por impressão digital e rosto, usando o serviço de acessibilidade para forçar uma recaída para autenticação por PIN ou senha.

O malware captura quaisquer PINs e senhas que a vítima digite para desbloquear seu dispositivo e pode usá-los mais tarde para desbloquear o dispositivo à vontade e realizar atividades maliciosas ocultas.

Por fim, o ThreatFabric relata que o Chameleon adicionou a programação de tarefas através da API AlarmManager para gerenciar os períodos de atividade e definir o tipo de atividade.

Dependendo de a acessibilidade estar ativada ou desativada, o malware se adapta ao lançamento de ataques de overlay ou à coleta de dados de uso do aplicativo para decidir o melhor momento para a injeção.

"Esses aprimoramentos aumentam a sofisticação e a adaptabilidade da nova variante do Chameleon, tornando-o uma ameaça mais potente na constante evolução do cenário de trojans bancários móveis", alerta o ThreatFabric.

Para manter a ameaça do Chameleon à distância, evite obter APKs (arquivos de pacote Android) de fontes não oficiais, já que este é o principal método de distribuição do serviço Zombinder.

Além disso, certifique-se de que o Play Protect está ativado o tempo todo e faça varreduras regulares para garantir que seu dispositivo esteja livre de malwares e adwares.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...