Em janeiro de 2023, uma ameaça significativa emergiu no cenário de segurança móvel: o Trojan Banking Chameleon. Este malware, focado principalmente em usuários na Austrália e na Polônia, demonstrou uma capacidade única de se adaptar e evoluir, desafiando as medidas de segurança existentes. Chamado de “Chameleon”, esse Trojan não apenas invade o ecossistema Android, mas também exibe uma habilidade para ignorar autenticações biométricas.
Surgido inicialmente em 2023, o Chameleon foi descoberto durante sua fase de desenvolvimento. Caracterizado pelo uso de loggers, funcionalidades maliciosas limitadas e comandos bem definidos, o Trojan apresentava um potencial claro para uma evolução significativa. Sua habilidade distintiva de manipular dispositivos, utilizando um recurso de proxy, permitia a execução de ações em nome da vítima, focando especialmente em ataques de Account Takeover (ATO) e Device Takeover (DTO) contra aplicativos bancários e serviços de criptomoeda.
A distribuição do Chameleon era diversificada, usando métodos como páginas de phishing disfarçadas de aplicativos legítimos e uma Rede de Distribuição de Conteúdo (CDN) legítima para disseminar arquivos maliciosos. Sua estratégia direcionada à Austrália e Polônia, disfarçando-se de instituições confiáveis, levantava preocupações significativas para o setor financeiro nessas regiões.
A evolução: variante aprimorada do Chameleon
Conforme previsto pela pesquisa do ThreatFabric, uma iteração refinada do Trojan Banking Chameleon surgiu, expandindo sua área de atuação para incluir usuários do Android no Reino Unido e na Itália. Esta variante aprimorada mantém a capacidade de Device Takeover (DTO) usando o Serviço de Acessibilidade e frequentemente se camufla como aplicativos do Google Chrome, aumentando sua eficácia na infiltração.
Os recursos avançados introduzidos pela nova variante Chameleon incluem a capacidade de ignorar prompts biométricos e exibir uma página HTML para ativar o Serviço de Acessibilidade em dispositivos Android que implementam o recurso “Configurações restritas” do Android 13. Essas melhorias destacam a sofisticação e a adaptabilidade do Trojan, tornando-o uma ameaça mais potente em um cenário de trojans bancários móveis em constante evolução.
Explorando os recursos da nova variante Chameleon
Android 13: Prompt HTML para ativar o serviço de acessibilidade
A nova variante Chameleon adapta-se dinamicamente ao ambiente Android 13. Ao receber o comando “android_13” do servidor de Comando e Controle (C2), o malware exibe uma página HTML, orientando os usuários a habilitarem o Serviço de Acessibilidade. Essa capacidade de resposta dinâmica demonstra a agilidade do Chameleon em contornar as últimas medidas de segurança, evidenciando a constante evolução das ameaças digitais.
Interrupção das operações biométricas
Outro recurso inovador introduzido pelo Chameleon é a capacidade de interromper as operações biométricas do dispositivo alvo. Emitindo o comando “interrupt_biometric,” o malware utiliza métodos específicos para forçar a transição da autenticação biométrica para o PIN. Essa tática não apenas facilita o roubo de informações confidenciais, mas também permite o desbloqueio do dispositivo usando dados previamente roubados.
Agendamento de tarefas e controle de atividades
A variante atualizada do Chameleon incorpora o agendamento de tarefas usando a API AlarmManager, oferecendo uma abordagem dinâmica e eficiente em relação à acessibilidade e ao lançamento de atividades. O novo comando “inejction_type” altera automaticamente o modo de agendamento de “a11y” para “usestats” com base na ativação ou desativação da acessibilidade. Essa flexibilidade destaca a inteligência por trás do Trojan ao lidar com diferentes cenários de segurança.
