Pesquisadores de cibersegurança revelaram uma nova técnica adotada por atores de ameaças por trás do trojan bancário Chameleon para Android, que visa usuários no Canadá ao se disfarçar de um aplicativo de Gerenciamento de Relacionamento com o Cliente (CRM).
"O Chameleon foi flagrado se disfarçando de um aplicativo CRM, visando uma cadeia de restaurantes canadense com operações internacionais," afirmou a empresa holandesa de segurança ThreatFabric em um relatório técnico publicado na segunda-feira(05).
A campanha, identificada em julho de 2024, visou clientes no Canadá e na Europa, indicando uma expansão do espectro de vítimas desde a Austrália, Itália, Polônia e o Reino Unido.
O uso de temas relacionados a CRM para os aplicativos maliciosos contendo o malware aponta para os alvos sendo clientes do setor de hospitalidade e funcionários de empresas de Business-to-Consumer (B2C).
Os artefatos droppers também são projetados para burlar Configurações Restritas impostas pelo Google no Android 13 e posteriores, a fim de impedir que aplicativos sideloaded solicitem permissões perigosas (por exemplo, serviços de acessibilidade), uma técnica anteriormente empregada por SecuriDroper e Brokewell.
Uma vez instalado, o aplicativo mostra uma página de login falsa para uma ferramenta de CRM e, em seguida, exibe uma mensagem de erro fictícia pedindo aos vítimas para reinstalar o aplicativo, quando, na realidade, ele implanta o payload do Chameleon.
Este passo é seguido pelo carregamento da página web de CRM falsa novamente, desta vez pedindo para completarem o processo de login, apenas para exibir uma mensagem de erro diferente dizendo: "Sua conta ainda não está ativada. Contate o departamento de RH."
O Chameleon está equipado para realizar fraude no dispositivo (on-device fraud - ODF) e transferir fraudulentamente fundos dos usuários, além de aproveitar overlays e suas amplas permissões para colher credenciais, listas de contatos, mensagens SMS e informações de geolocalização.
"Se os atacantes conseguirem infectar um dispositivo com acesso a bancos corporativos, o Chameleon obtém acesso a contas bancárias de empresas e representa um risco significativo para a organização," disse a ThreatFabric.
A probabilidade aumentada de tal acesso para funcionários cujas funções envolvem CRM é a razão provável por trás da escolha do disfarce durante esta última campanha.
Este desenvolvimento ocorre semanas após a IBM X-Force detalhar uma campanha de malware bancário na América Latina realizada pelo grupo CyberCartel para roubar credenciais e dados financeiros, além de entregar um trojan chamado Caiman por meio de extensões maliciosas do Google Chrome.
"O objetivo final dessas atividades maliciosas é instalar um plugin prejudicial no navegador da vítima e usar a técnica de Man-in-the-Browser," disse a empresa.
Isso permite que os atacantes colem ilegalmente informações bancárias sensíveis, junto com outros dados relevantes, como informações da máquina comprometida e capturas de tela sob demanda.
Atualizações e configurações são disseminadas via um canal do Telegram pelos atores de ameaça.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...