El conocido troyano bancario Chameleon para Android ha regresado, ahora encarnado en una nueva versión que se sirve de una técnica complicada para apoderarse de los dispositivos: es capaz de desactivar el desbloqueo de huellas dactilares y escáner facial para robar los PIN.
Entre los nuevos superpoderes que ha adquirido Chameleon está la capacidad de mostrar una página HTML en dispositivos con Android 13 y versiones posteriores, pidiendo a las víctimas que le den permiso a la aplicación para usar el servicio de Accesibilidad.
Al activarse este puede aprovechar para sustraer contenido en pantalla, otorgarse permisos adicionales y realizar gestos de navegación.
Además, su segunda característica novedosa es la capacidad de interrumpir las operaciones biométricas en el dispositivo, como huellas dactilares y desbloqueo facial, mediante el uso del servicio de Accesibilidad para forzar un retorno a la autenticación con PIN o contraseña.
Una vez obtenida la clave de acceso numérica puede desbloquear el terminal a voluntad.
Según recuerda Bleeping Computer, las versiones anteriores de Chameleon detectadas en abril se hacían pasar por agencias gubernamentales australianas, bancos y el exchange de criptomonedas CoinSpot, realizando registros de teclas, inyección de superposición, robo de cookies y robo de SMS en dispositivos comprometidos.
Cómo viaja el malware
Chameleon se está distribuyendo mediante el servicio Zombinder, haciéndose pasar por Google Chrome. Así lo señalan los investigadores de ThreatFabric, que han estado siguiendo el malware.
Zombinder puede pegar malware a apps de Android legítimas con el fin de que las víctimas instalen las aplicaciones que quería descargar y disfruten plenamente de ellas sin percatarse ni sospechar que va 'el bicho' con ellas. Así, la amenaza se ejecuta en segundo plano de manera sibilina.
De esta forma Chamaleon iría en paquetes maliciosos indetectables que evitarían las alertas de Google Protect y 'torearían' a los antivirus.