Yahoo Finanzas Malware "Chameleon": así roba las cuentas bancarias luego de bloquear la huella dactilar
Una nueva variante del troyano es capaz de bloquear el registro biométrico de dispositivos Android y, más concretamente el de la huella dactilar, para obligar a los usuarios a introducir su número PIN o contraseña y acceder a sus cuentas sin autorización.
Chameleon es un 'malware' identificado en enero de 2023 por la compañía de ciberseguridad ThreatFabric, que tiene por objetivo principal las aplicaciones móviles bancarias y que se distribuye a través de páginas de 'phishing' fraudulentas de servicios legítimos.
Este troyano, además, mostró una capacidad distitniva para manipular el dispositivo afectado, al ejecutar acciones en su nombre a través de una función de proxy, que permite llevar a cabo ataques de apropiación de cuentas (ATO) y de apropiación de dispositivos (DTO).
Según los investigadores, estos ataques estaban dirigidos tanto a aplicaciones bancarias como a servicios de criptomonedas y eran capaces de abusar de los privilegios del Servicio de Accesibilidad.
Malware "Chameleon": cómo funciona
Para poder distribuir este 'malware', los agentes maliciosos lo disfrazaban de servicios legítimos, como la Oficina de Impuestos de Australia (ATO) a través de páginas de 'phishing', por lo que las víctimas podían creer que se trataba de enlaces confiables.
Cada vez existen más variantes para cometer ciberdelitos
En base a sus investigaciones, los expertos en ciberseguridad adelantaron que surgió una iteración refinada de este troyano, que conserva cacacterísticas de su predecesor y que amplió su línea de ataque a usuarios de Android en Reino Unido e Italia.
Esta nueva variante se distribuye a través de la plataforma maliciosa Zombinder e introduce funciones avanzadas. Asimismo, logró sumar más víctimas al hacerse pasar por aplicaciones de Google Chrome y también porque incorporó la capacidad de omitir indicaciones biométricas.
Esto quiere decir que Chameleon es capaz de interrumpir el reconocimiento de la huella dactilar del dispositivo al bloquearlo, de modo que obliga a los usuarios a indicar el patrón, PIN o contraseña de acceso a la aplicación bancaria.
Gracias a esta capacidad, el troyano puede desbloquear el terminal a voluntad sin autorización de las víctimas y sin la protección correspondiente a los sistemas de autenticación biométrica, ya que roba dichas credenciales.
Por otra parte, desde ThreatFabric destacaron que este troyano también puede hacerse con el control del sistema y programar tareas empleando la interfaz de programación de aplicaciones (API) AlarmManager, una habilidad con la que no contaba en su desarrollo inicial.
