Cada nueva versión de Android incluye protecciones adicionales que se lo ponen un poco más difícil al malware, aunque los creadores de este tipo de amenazas no se quedan de brazos cruzados, creando malware cada vez más sofisticado. Este es el caso del malware bancario Chameleon, detectado por primera vez hace un año y que recientemente acaba de ganar más funciones, algo preocupantes.
Los analistas de seguridad de Threat Fabric destacan la evolución del malware Chameleon, el cual se las apaña para saltarse la biometría del móvil, aunque esto no quiere decir que el sistema de protección con huellas de Android sea inseguro, sino que usa un truco para forzar a que se pida algo que sí pueda robar, como el código PIN o la contraseña.
El servicio de accesibilidad, al servicio del mal
El malware Chamaleon no es muy distinto al resto de troyanos bancarios que circulan por ahí: cuenta en su arsenal con todos los básicos para exprimir a los móviles infectados como la combinación de phishing con robo de los contactos del móvil, la ubicación, captura de las pulsaciones de teclas (keylogging) y captura de la pantalla.
El malware lleva en circulación desde principios del año pasado, extendiéndose poco a poco a distintas regiones mientras sus creadores van adaptando su funcionamiento para que suplante las aplicaciones de los bancos o entidades de cada país. Empezó centrándose en Australia y Polonia, para ahora centrarse en Reino Unido e Italia, con una nueva variante con una capacidad algo inusual: saltarse la biometría del móvil.
Ahora bien, el sistema tiene truco y requiere que el usuario haya otorgado antes el permiso de accesibilidad, que ya sabemos que es una de las principales puertas de entrada del malware en Android. Tan importante es este permiso que sus creadores han incluído un pequeño tutorial para que los usuarios lo otorguen en Android 13, pues en esta versión hacerlo requiere de un paso adicional si se trata de una aplicación instalada desde fuentes desconocidas, como es el caso.
En Android 13, otorgar el permiso de accesibilidad a una aplicación instalada desde fuentes dseconocidas requiere de pasos adicionales, así que el troyano incluye un nuevo tutorial. Imagen de Threat Fabric.
Es importante que el usuario otorgue el permiso porque se usará para para comprobar qué sistema de bloqueo tiene activo el móvil (PIN, contraseña o patrón), cambiando a este sistema de usar la biometría. Es decir, cuando se te pide que uses la huella dactilar, el móvil cambia al sistema de respaldo obligatorio, ya sea PIN, contraseña o patrón.
A diferencia de las huellas, que están guardadas de forma segura en el terminal, el troyano puede interceptar el PIN, la contraseña o el patrón después de que el usuario las haya introducido. Tras robar estas credenciales, el troyano puede desbloquear el móvil por si mismo usando estas credenciales.
El truco está en cambiar de la contraseña al PIN, que el troyano sí podrá robar y reusar más tarde. Imagen de Threat Fabric
Por lo demás, el objetivo de este troyano es principalmente vaciarte la cuenta capturando las credenciales en las aplicaciones del banco y similares. Para ello, usa la ya manida técnica de mostrarse encima de la aplicación del banco cuando detecta que está abierta, de modo que escribamos ahí nuestro código en lugar de realmente en la aplicación.
El troyano Chameleon se ha detectado por el momento haciéndose pasar por Google Chrome, aunque está diseñado para ser descargado desde aplicaciones de apariencia inofensiva. Las recomendaciones para evitarlo son las mismas de siempre: tener cuidado con las aplicaciones que se instalan desde fuentes desconocidas y, especialmente, con aquellas a las que otorgamos el peligroso permiso de accesibilidad.
Imagen de portada | Generada con IA
Via | El Androide Libre y Hacker News
En Xataka Android | Qué es el malware, qué tipos hay y qué puedes hacer si infecta tu móvil
Ver 1 comentarios