Este malware realiza una variedad de acciones que le permiten pasar desapercibido para los softwares de seguridad.
Recientemente, se ha descubierto un nuevo y peligroso troyano para dispositivos móviles Android llamado «Chameleon», el cual ha estado atacando a usuarios en Australia y Polonia desde principios de este año. Este malware se hace pasar por sitios web legítimos, como la bolsa de criptomonedas CoinSpot, una agencia gubernamental australiana y el banco IKO, para engañar a los usuarios desprevenidos.
Chameleon se distribuye a través de sitios web comprometidos, archivos adjuntos de Discord y servicios de alojamiento como Bitbucket. Una vez instalado en el dispositivo, este troyano lleva a cabo una serie de funciones maliciosas que ponen en riesgo la seguridad y privacidad de los usuarios.
Una de las principales características de Chameleon es su capacidad para robar credenciales de usuario a través de inyecciones superpuestas y el registro de teclas, cookies y mensajes de texto SMS desde el dispositivo infectado. Además, el malware realiza comprobaciones para evitar ser detectado por el software de seguridad, como verificar si el dispositivo está rooteado o si la depuración está activada.
Una vez que Chameleon se infiltra en el dispositivo, solicita a la víctima que le otorgue permisos adicionales utilizando el Servicio de Accesibilidad, lo que le permite desactivar Google Play Protect e impedir que el usuario lo desinstale. Esto dificulta la eliminación del malware y pone en riesgo la integridad del dispositivo.
Chameleon también se comunica con un servidor de comando y control (C2), enviando información sobre el dispositivo infectado, como la versión, el modelo, el estado root y la ubicación. Esto sugiere que los ciberdelincuentes pueden utilizar esta información para personalizar futuros ataques.
El troyano carga módulos maliciosos en segundo plano, los cuales incluyen un ladrón de cookies, un keylogger, un inyector de páginas de phishing y un capturador de PIN/patrón de la pantalla de bloqueo. Estas funciones permiten al malware robar información confidencial, como contraseñas y datos de autenticación de dos factores (2FA).
Además, Chameleon utiliza y abusa de los Servicios de Accesibilidad del sistema para operar de manera eficiente, monitoreando la pantalla, modificando la interfaz y enviando llamadas a la API según sea necesario. Asimismo, impide su desinstalación borrando sus variables de preferencias compartidas cuando la víctima intenta eliminar la aplicación maliciosa.
