O malware Chameleon Android surgiu na Austrália e na Polónia no início de 2023, antes de se espalhar para outros países, incluindo o Reino Unido e a Itália. As primeiras versões do Chameleon podiam realizar ações em nome do proprietário, após as quais os cibercriminosos ganhavam o controle do dispositivo da vítima. A nova versão do Trojan aprendeu a habilitar serviços de acessibilidade em dispositivos com Android 13 e ignorar solicitações biométricas.
Fonte da imagem: pexels.com
A nova variante Chameleon verifica o dispositivo para determinar se ele está executando o Android versão 13 ou posterior. Nesse caso, o malware solicita que o usuário habilite os serviços de acessibilidade, auxiliando o usuário no processo. Depois disso, o malware já pode realizar ações não autorizadas em nome do usuário. Esta capacidade em si não é exclusiva desta classe de malware, mas a nova versão do Trojan adicionou a capacidade de interromper operações biométricas no dispositivo alvo e contornar bloqueios de impressão digital.
Este método usa a interface de programação do aplicativo KeyguardManager e o AccessibilityEvent no nível do sistema, que fornece informações sobre alterações na interface do usuário para avaliar a integridade da tela e a proteção do teclado. Keyguard é um componente do sistema responsável por gerenciar a segurança do dispositivo, como bloqueio de tela e mecanismos de autenticação. O malware avalia o status de segurança do teclado em relação a vários mecanismos de bloqueio, como padrão, PIN ou senha.
Essa abordagem facilita o roubo de PINs, senhas ou padrões usando recursos de keylogging que ignoram a biometria e permitem que dispositivos sejam desbloqueados usando PINs ou senhas roubados anteriormente. Quando certas condições são atendidas, o malware usa a ação AccessibilityEvent para mudar da autenticação biométrica para a autenticação PIN, o que permite ao Trojan desbloquear o dispositivo.
«O surgimento do novo Trojan bancário Chameleon é outro exemplo do cenário complexo e adaptativo de ameaças no ecossistema Android, de acordo com pesquisadores da ThreatFabric. “Esta atualização em relação à versão anterior oferece maior resiliência e novos recursos aprimorados.”
Para evitar a infecção, os usuários devem usar o bom senso para evitar a instalação de aplicativos de sites não oficiais questionáveis e usar medidas de segurança em dispositivos Android, como o recurso de segurança Play Protect, que verifica e verifica aplicativos para evitar a instalação de software malicioso.