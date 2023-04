Il nuovo trojan bancario Chameleon, approdato di recente sui dispositivi Android, è stato scoperto mascherato dalla popolare app di criptovalute CoinSpot. Il malware sembra essere caratterizzato da una serie di comandi univoci che non sembrano essere associati a nessuna famiglia di trojan conosciuta fino ad oggi, suggerendo cosi ai ricercatori che possa trattarsi di una nuova famiglia di malware.

Questo software, dannoso per tutti i dispositivi Android, sembra essere operativo dal mese di gennaio e ha preso di mira specificatamente gli utenti in Polonia e Australia.

Otre all’app CoinSpot, Chameleon si finge anche di essere altre applicazioni popolari tra cui l’app di un’agenzia governativa australiana e la banca polacca IKO. Tra le altre app false sono state individuate anche BCH_Cash e LTC_GiveAway.

Il malware è in grado di cambiare la sua icona per rimanere nascosto. Ad oggi è stato trovato mentre utilizzava icone di note applicazioni come ChatGPT, Chrome o Bitcoin. Questo tipo di applicazioni dannose vengono come sempre diffuse tramite siti web compromessi, servizi di Bitbucket hosting e allegati su Discord. Gli aggressori hanno utilizzato alcuni URL specifici per diffondere il software malevolo tra gli utenti.

Come sempre lo scopo principale di questi software rimane quello di rubare le credenziali dell’utente tramite tecniche di injection e keylogging. Al momento, secondo i ricercatori, sembra che il trojan sia ancora in fase embrionale nel pieno della sua fase di sviluppo, dal momento che ad oggi dispone di capacità limitate. Nonostante ciò, esso è attualmente in grado di raccogliere messaggi SMS, lanciare attacchi overlay, eseguire keylogging, rubare cookie e rimuoversi autonomamente dai dispositivi infetti senza lasciare traccia.

Una delle caratteristiche interessanti di questo malware è data dal fatto che può disattivare Google Play Protect silenziosamente. Inoltre, Chameleon è dotato di un lock grabber in grado di rubare tutte le password protette da pin sui dispositivi infetti. Se bene l’attuale variante non sia molto sofisticata, riesce comunque nel complesso a risultare molto pericolosa e invasiva, per tanto gli esperti suggeriscono di prestare molta attenzione durante l’apertura di collegamenti ricevuti via mail o tramite messaggi di testo provenienti da mittenti sconosciuti.