Malware móvil camaleón
Se detectó una nueva forma de troyano de Android denominada 'Chameleon' dirigida a usuarios en Australia y Polonia desde principios de 2023. Este malware en particular está diseñado para imitar entidades legítimas como el intercambio de criptomonedas CoinSpot, una agencia del gobierno australiano, y el banco IKO.
Según la empresa de ciberseguridad Cyble, se cree que la distribución de este malware móvil se produjo a través de varios canales. Estos incluyen sitios web comprometidos, archivos adjuntos en la popular plataforma de comunicación Discord y servicios de alojamiento proporcionados por Bitbucket. Además, el troyano Chameleon para Android cuenta con un amplio espectro de capacidades dañinas, que incluyen el robo de credenciales de usuario a través de inyecciones superpuestas y registro de teclas, así como la recopilación de cookies y mensajes SMS del dispositivo comprometido.
Tabla de contenido
Chameleon realiza varios controles anti-detección
Tras la ejecución en el dispositivo Android violado, el malware móvil Chameleon emplea varias técnicas para eludir la detección por parte del software de seguridad. Estas tácticas incluyen comprobaciones antiemulación para determinar si el dispositivo está rooteado y si se ha activado la depuración. Si la amenaza detecta que se está ejecutando en el entorno de un analista, puede cancelar el proceso de infección por completo para evitar la detección.
Si determina que el entorno es seguro, Chameleon procede con su programación maliciosa y solicita a la víctima que la autorice para usar el Servicio de Accesibilidad. Luego, la amenaza explota este permiso para otorgarse privilegios adicionales, desactivar Google Play Protect y evitar que la víctima desinstale el troyano.
Los atacantes pueden realizar varias actividades amenazantes a través del malware móvil Chameleon
Al establecer una conexión con el servidor de comando y control (C2), el malware Chameleon inicia la comunicación enviando la versión, el modelo, el estado raíz, el país y la ubicación precisa del dispositivo. Se cree que esto es un intento de perfilar la nueva infección y adaptar sus actividades en consecuencia.
Posteriormente, dependiendo de la entidad que el malware suplante, abre una URL legítima en un WebView y comienza la carga de módulos maliciosos en segundo plano. Estos módulos incluyen un ladrón de cookies, un registrador de teclas, un inyector de página de phishing, un capturador de PIN/patrones de pantalla de bloqueo y un ladrón de SMS. Este último es particularmente preocupante, ya que puede extraer contraseñas de un solo uso, lo que permite a los atacantes eludir las protecciones de autenticación de dos factores.
Para llevar a cabo sus actividades de recopilación de datos, el malware Chameleon se basa en el abuso de los Servicios de Accesibilidad. Esto le otorga al malware la capacidad de monitorear el contenido de la pantalla, detectar eventos específicos, modificar elementos de la interfaz y enviar las llamadas API necesarias según sea necesario.
El malware móvil Chameleon establece la persistencia en los dispositivos infectados
Además de sus actividades de recopilación de datos, el malware Chameleon también aprovecha los Servicios de accesibilidad para impedir la eliminación de la aplicación no segura. Lo logra monitoreando los intentos de desinstalación por parte de la víctima y eliminando las variables de preferencias compartidas asociadas con el malware. Esto hace que parezca que la aplicación se ha desinstalado cuando, de hecho, permanece en el dispositivo.
Además, la firma de seguridad cibernética Cyble ha descubierto un código dentro de Chameleon que le permite descargar una carga útil mientras está en tiempo de ejecución y guardarla en el dispositivo host como un archivo '.jar'. Este archivo está diseñado para ejecutarse más tarde a través de DexClassLoader. Sin embargo, esta característica no parece estar siendo utilizada actualmente por el malware.
