Chameleon, il trojan bancario che minaccia gli smartphone Android disabilitando la protezione biometrica

Entra nel nuovo canale WhatsApp di NextMe.it Chameleon

Chameleon è un sofisticato trojan bancario progettato per colpire i dispositivi Android. Questo malware si distingue per l’uso di una tecnica insidiosa che gli consente di prendere il controllo dei dispositivi infetti. Il suo metodo principale consiste nel disabilitare i sistemi di sicurezza biometrici, sia i lettori di impronte digitali che le soluzioni di riconoscimento facciale. Questa manovra costringe gli utenti a ricorrere all’uso del PIN, che Chameleon registra segretamente.

La distribuzione di Chameleon avviene tramite un metodo ingegnoso noto come Zombinder. Questo meccanismo fonde il trojan con app Android legittime, inducendo l’utente a credere di utilizzare un’app sicura e funzionale. Mentre l’app legittima funziona normalmente, Chameleon opera in background senza destare sospetti, compromettendo la sicurezza del dispositivo.

Sulle versioni Android 13 e successive, Chameleon ha acquisito la capacità di presentare agli utenti una pagina HTML ingannevole. Questa pagina è progettata per convincere gli utenti a concedere permessi ai servizi di accessibilità, consentendo al trojan di disabilitare i sistemi di sicurezza biometrici.

Funzionalità nascoste di Chameleon

Chameleon non si limita solo al furto di PIN. Il malware utilizza l’API AlarmManager per pianificare i task e decidere quando agire, basandosi sulle condizioni dello smartphone. Questa flessibilità gli permette di lanciare attacchi overlay o di raccogliere dati sull’utilizzo delle app per scegliere il momento più opportuno per eseguire attività dannose.

Per evitare l’infezione da Chameleon, è fondamentale astenersi dall’installare APK da fonti non ufficiali. La minaccia viene infatti diffusa principalmente attraverso canali non affidabili. Inoltre, è importante prestare attenzione alle richieste di autorizzazione ai servizi di Accessibilità.

In precedenza, Chameleon era stato identificato in una variante che si fingeva app bancarie e la piattaforma di criptovalute CoinSpot. Le sue operazioni includevano keylogging, furto di cookie di sessione e di SMS. L’ultima variante ha ampliato il suo campo d’azione, diffondendosi anche in Italia, dimostrando una continua evoluzione nella sua capacità di minacciare la sicurezza digitale.