Sala de prensa

El CSIRT Finaciero informa a todos los interesados sobre cada uno de los aspectos corporativos relevantes en materia de ciberseguridad.

NUEVA VERSIÓN DEL TROYANO BANCARIO CHAMELEON

21/10/2024

NUEVA VERSIÓN DEL TROYANO BANCARIO CHAMELEON
El equipo del Csirt Financiero ha observado una nueva versión del troyano bancario Chameleon, que cuenta con capacidades avanzadas para evadir las restricciones de AccessibilityService en Android 13 distribuyéndose a nivel mundial, afectando múltiples sectores al camuflarse como aplicaciones legítimas relacionadas con la gestión de relaciones con los clientes (CRM) y como aplicaciones de seguridad, con el objetivo de obtener información financiera de los usuarios afectados.

Descripción

Entre las capacidades destacadas de Chameleon se encuentra el uso de un cuentagotas que elude las restricciones de AccessibilityService, mostrando una página falsa que simula una pantalla de inicio de sesión de CRM y solicita el ID del empleado. Luego, presenta un mensaje que pide reinstalar la aplicación, que en realidad es Chameleon, permitiéndole evitar las restricciones de Android (AccessibilityService). Tras la instalación, el troyano carga nuevamente un sitio web falso que solicita las credenciales del usuario.

Adicionalmente, Chameleon es capaz de evadir sistemas de seguridad biométrica, como el reconocimiento de huellas dactilares, forzando al usuario a introducir su PIN o contraseña. Obtiene datos bancarios y otra información sensible mediante técnicas como el keylogging (registro de pulsaciones de teclas) y la captura de pantalla, abusando de los Servicios de Accesibilidad de Android para llevar a cabo sus actividades maliciosas, recopilando y enviando toda esta información al servidor de comando y control (C2).

Vector de infección

La distribución de Chameleon se lleva a cabo mediante su camuflaje como aplicaciones legítimas de gestión de relaciones con los clientes (CRM) y como aplicaciones de seguridad, infectando a los usuarios para obtener información financiera.

Recomendaciones

Chameleon puede ser mitigado o detectado en su infraestructura tecnológica aplicando las siguientes recomendaciones:

  • Verificar cada uno de los indicadores de compromiso (IoC) adjuntos en el presente producto los cuales pueden ser implementados en sus sistemas de seguridad perimetral; por lo anterior el equipo del Csirt Financiero recomienda validar que no se interrumpa la disponibilidad de la operación y/o prestación de sus servicios (hash md5, sha1 y sha256 son equivalentes).
  • Implementar una política de seguridad sólida que incluya la prohibición de descargar aplicaciones de fuentes no confiables y el uso de dispositivos personales para fines laborales.
  • Educar a los empleados sobre las amenazas cibernéticas y las mejores prácticas de seguridad, como identificar correos electrónicos de phishing y evitar hacer clic en enlaces sospechosos.
  • Utilizar soluciones de seguridad de punto final robustas que incluyan protección contra malware y análisis de comportamiento.

Leer noticia: https://www.darkreading.com/endpoint-security/chameleon-banking-trojan-makes-a-comeback-cloaked-as-crm-app