Un nuovo malware è stato scoperto dalla società di sicurezza informatica Cyble, che segnala di averlo visto distribuito attraverso siti Web compromessi, allegati Discord e servizi di hosting Bitbucket.
Per infettare gli utenti Android, Il trojan Android chiamato Chameleon, attivo da gennaio 2023, sarebbe mascherato da diverse app, come ChatGPT, Chrome, Bitcoin e CoinSpot .
Le funzionalità
Chameleon includerebbe diverse funzionalità malevole, tra cui il furto di credenziali tramite overlay, keylogging e la raccolta di cookie e SMS dal dispositivo infetto.
L’abuso dei servizi di accessibilità, consentirebbe inoltre al malware di monitorare eventi specifici oltre a disabilitare il Google Play Protect e impedire la sua disinstallazione.
Infatti nella fase di avvio della falsa app, dopo una serie di controlli per eludere il rilevamento ed aver identificato il dispositivo, Chameleon richiederebbe il consenso di utilizzare il servizio di accessibilità per ottenere autorizzazioni extra. Nel frattempo inizia il collegamento con il server C2 per inviare dapprima informazioni di base e caricare diversi moduli (Cookie Stealer, Keylogger, Injection, Lock Grabber, SMS Stealer) in background mentre con una WebView apre l’URL legittima dell’app impersonata.
Conclusioni
Chameleon è una minaccia emergente, tuttavia secondo Cyble esiste la possibilità che gli autori del malware introducano funzionalità nuove e più sofisticate in futuro, espandendo il loro bacino di azione attuale.
Si consiglia sempre agli utenti di scaricare software solo dagli store ufficiali e tenere sempre aggiornati sistema operativo e applicazioni alle versioni più recenti.
IoC e ulteriori dettagli sono disponibili sul rapporto Cyble.
