Investigadores de ciberseguridad han revelado una nueva técnica adoptada por actores maliciosos detrás del troyano bancario Chameleon para Android dirigido a usuarios en Canadá haciéndose pasar por una aplicación de gestión de relaciones con el cliente (CRM).
“Se vio a Chameleon haciéndose pasar por una aplicación CRM, dirigida a una cadena de restaurantes canadiense que opera a nivel internacional”, dijo la agencia de seguridad holandesa ThreatFabric. dicho en un informe técnico publicado el lunes.
La campaña, detectada en julio de 2024, estaba dirigida a clientes de Canadá y Europa, lo que indica una expansión de su huella victimológica en Australia, Italia, Polonia y el Reino Unido.
El uso de temas relacionados con CRM para aplicaciones maliciosas que contienen malware indica que los objetivos son clientes del sector hotelero y empleados del sector B2C (Business-to-Consumer).
Los artefactos de cuentagotas también están diseñados para eludir las configuraciones restringidas impuestas por Google en Android 13 y posteriores para evitar que las aplicaciones descargadas soliciten permisos peligrosos (por ejemplo, servicios de accesibilidad), una técnica utilizada anteriormente por SecuriDroper y Brokewell.
Una vez instalada, la aplicación muestra una página de inicio de sesión falsa para una herramienta CRM, luego muestra un mensaje de error falso instando a las víctimas a reinstalar la aplicación, cuando en realidad implementa la carga útil Chameleon.
A este paso le sigue cargando nuevamente la página web falsa de CRM, esta vez pidiéndoles que completen el proceso de inicio de sesión, solo para mostrar un mensaje de error diferente que dice “Su cuenta aún no está activada”. Contacta con el departamento de recursos humanos. »
Chameleon está equipado para realizar fraudes en el dispositivo (ODF) y transferir fraudulentamente fondos de usuarios, mientras aprovecha las superposiciones y sus amplios permisos para recopilar credenciales, listas de contactos, mensajes SMS e información de geolocalización.
“Si los atacantes pueden infectar un dispositivo con acceso a los servicios bancarios de la empresa, Chameleon obtendrá acceso a las cuentas bancarias de la empresa y representará un riesgo significativo para la organización”, dijo ThreatFabric. “La mayor probabilidad de dicho acceso para los empleados cuyas funciones implican la gestión de relaciones con los clientes es la razón probable detrás de la elección del enmascaramiento en esta última campaña. »
El desarrollo se produce semanas después de las extensiones maliciosas de Google Chrome de IBM.
“El objetivo final de estas actividades maliciosas es instalar un complemento de navegador dañino en el navegador de la víctima y utilizar la técnica Man-in-the-Browser”, dijo la compañía. dicho.
“Esto permite a los atacantes recopilar ilegalmente información bancaria confidencial, así como otros datos relevantes, como información sobre máquinas comprometidas y capturas de pantalla a pedido. Los actores de amenazas distribuyen las actualizaciones y configuraciones a través de un canal de Telegram. »