07 de agosto de 2024Ravie LakshmananAndroid / Seguridad móvil, Los investigadores de ciberseguridad han destapado una nueva técnica adoptada por los actores de amenazas detrás del troyano bancario Chameleon para Android que ataca a los usuarios de Canadá haciéndose pasar por una aplicación de gestión de relaciones con el cliente (CRM). «Se vio a Chameleon haciéndose pasar por una aplicación de CRM, que atacaba a una cadena de restaurantes canadiense que opera a nivel internacional», dijo la empresa de seguridad holandesa ThreatFabric en un informe técnico publicado el lunes. La campaña, detectada en julio de 2024, apuntaba a clientes de Canadá y Europa, lo que indica una expansión de su huella de victimización desde Australia, Italia, Polonia y el Reino Unido. El uso de temas relacionados con CRM para las aplicaciones maliciosas que contienen el malware apunta a que los objetivos son clientes del sector hotelero y empleados de empresa a consumidor (B2C). Los artefactos del dropper también están diseñados para eludir las configuraciones restringidas impuestas por Google en Android 13 y versiones posteriores para evitar que las aplicaciones descargadas soliciten permisos peligrosos (por ejemplo, servicios de accesibilidad), una técnica empleada anteriormente por SecuriDroper y Brokewell. Una vez instalada, la aplicación muestra una página de inicio de sesión falsa para una herramienta de CRM y luego muestra un mensaje de error falso que insta a las víctimas a reinstalar la aplicación, cuando, en realidad, implementa la carga útil de Chameleon. A este paso le sigue la carga de la página web falsa de CRM nuevamente, esta vez pidiéndoles que completen el proceso de inicio de sesión, solo para mostrar un mensaje de error diferente que dice «Su cuenta aún no está activada. Comuníquese con el departamento de recursos humanos». Chameleon está equipado para realizar fraudes en el dispositivo (ODF) y transferir fraudulentamente los fondos de los usuarios, al mismo tiempo que aprovecha las superposiciones y sus amplios permisos para recopilar credenciales, listas de contactos, mensajes SMS e información de geolocalización. «Si los atacantes logran infectar un dispositivo con acceso a la banca corporativa, Chameleon obtiene acceso a las cuentas bancarias de la empresa y representa un riesgo significativo para la organización», dijo ThreatFabric. «La mayor probabilidad de dicho acceso para los empleados cuyas funciones involucran CRM es la razón probable detrás de la elección del enmascaramiento durante esta última campaña». El desarrollo se produce semanas después de que IBM X-Force detallara una campaña de malware bancario latinoamericano llevada a cabo por el grupo CyberCartel para robar credenciales y datos financieros, así como distribuir un troyano llamado Caiman por medio de extensiones maliciosas de Google Chrome. «El objetivo final de estas actividades maliciosas es instalar un complemento de navegador dañino en el navegador de la víctima y utilizar la técnica Man-in-the-Browser», dijo la compañía. «Esto permite a los atacantes recopilar ilegalmente información bancaria confidencial, junto con otros datos relevantes, como información de la máquina comprometida y capturas de pantalla a pedido. Las actualizaciones y configuraciones se difunden a través de un canal de Telegram por los actores de amenazas». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.