O MALWARE ANDROID CHAMELEON DESATIVA O DESBLOQUEIO DE IMPRESSÃO DIGITAL PARA ROUBAR PINS

 

O trojan bancário Chameleon para Android ressurgiu com uma nova versão que usa uma técnica complicada para assumir o controle de dispositivos: desativar impressão digital e desbloqueio facial para roubar PINs de dispositivos.

Ele faz isso usando um truque de página HTML para obter acesso ao serviço de acessibilidade e um método para interromper as operações biométricas para roubar PINs e desbloquear o dispositivo à vontade.

Versões anteriores do Chameleon detectadas em abril deste ano representavam agências governamentais australianas, bancos e a bolsa de criptomoedas CoinSpot, realizando keylogging, injeção de sobreposição, roubo de cookies e roubo de SMS em dispositivos comprometidos.

Pesquisadores da ThreatFabric, que acompanham o malware, relatam que ele é atualmente distribuído por meio do serviço Zombinder, se passando por Google Chrome.

O Zombinder “cola” malware em aplicativos Android legítimos para que as vítimas possam aproveitar todas as funcionalidades do aplicativo que pretendem instalar, diminuindo a probabilidade de suspeitar que um código perigoso esteja sendo executado em segundo plano.

A plataforma afirma que seus pacotes maliciosos são indetectáveis ​​em tempo de execução, ignorando os alertas do Google Protect e evitando qualquer produto antivírus em execução no dispositivo infectado.

APKs que carregam camaleões se passando por Google Chrome (ThreatFabric)

Novos recursos do Camaleão

O primeiro novo recurso visto na variante Chameleon mais recente é a capacidade de exibir uma página HTML em dispositivos com Android 13 e posterior, solicitando às vítimas que concedam permissão ao aplicativo para usar o serviço de acessibilidade.

O Android 13 e versões posteriores são protegidos por um recurso de segurança chamado "Configuração restrita", que bloqueia a aprovação de permissões perigosas, como acessibilidade, que o malware pode aproveitar para roubar conteúdo na tela, conceder permissões adicionais e realizar gestos de navegação.

Quando o Chameleon detecta o Android 13 ou 14 na inicialização, ele carrega uma página HTML que orienta o usuário por um processo manual para ativar a acessibilidade do aplicativo, ignorando a proteção do sistema.

Prompt de página HTML do Chameleon (ThreatFabric)

O segundo novo recurso notável é a capacidade de interromper operações biométricas no dispositivo, como impressão digital e desbloqueio facial, usando o serviço de acessibilidade para forçar um retorno à autenticação por PIN ou senha.

O malware captura todos os PINs e senhas que a vítima digita para desbloquear o dispositivo e pode usá-los posteriormente para desbloquear o dispositivo à vontade para realizar atividades maliciosas ocultas.

Snippet de código Java interrompendo o serviço biométrico no Android (ThreatFabric)

Por fim, ThreatFabric relata que Chameleon adicionou agendamento de tarefas por meio da API AlarmManager para gerenciar os períodos de atividade e definir o tipo de atividade.

Dependendo se a acessibilidade está ativada ou desativada, o malware se adapta para lançar ataques de sobreposição ou realizar a coleta de dados de uso do aplicativo para decidir o melhor momento para a injeção.

“Essas melhorias elevam a sofisticação e a adaptabilidade da nova variante Chameleon, tornando-a uma ameaça mais potente no cenário em constante evolução dos trojans bancários móveis”, alerta ThreatFabric.

Para manter a ameaça Chameleon sob controle, evite adquirir APKs (arquivos de pacotes Android) de fontes não oficiais, pois este é o principal método de distribuição do serviço Zombinder.

Além disso, certifique-se de que o Play Protect esteja sempre ativado e execute verificações regulares para garantir que seu dispositivo esteja livre de malware e adware.

Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/chameleon-android-malware-disables-biometric-unlock-to-steal-pins/

Fonte: https://www.bleepingcomputer.com

 

Achou esse artigo interessante? Siga Samir News em Instagram, Facebook, Telegram, Twitter, App Boletim Tec e App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.

#samirnews #samir #news #boletimtec #o #malware #android #chameleon #desativa #o #desbloqueio #de #impressão #digital #para #roubar #pins