Malware ‘Camaleonte’: il nuovo pericolo per Android che imita app di banche, governi e criptovalute

Francesco Polimeni
malware

Introduzione al Malware ‘Camaleonte’

Malware, un nuovo trojan per Android, chiamato ‘Camaleonte’, ha preso di mira gli utenti in Australia e Polonia dall’inizio dell’anno, imitando la borsa di criptovalute CoinSpot, un’agenzia governativa australiana e la banca IKO. Il malware mobile è stato scoperto dalla società di cybersecurity Cyble, che ha segnalato la sua distribuzione attraverso siti web compromessi, allegati Discord e servizi di hosting Bitbucket.

Funzionalità Maliziose del ‘Camaleonte’: un’Analisi Dettagliata

Il malware ‘Camaleonte’ è dotato di una serie di funzionalità malevole che lo rendono particolarmente dannoso per gli utenti di dispositivi Android. Queste funzionalità sono progettate per rubare informazioni sensibili, compromettere la sicurezza del dispositivo e eludere i tentativi di rilevamento e rimozione.

Furto di Credenziali

Una delle principali funzionalità del ‘Camaleonte’ è la capacità di rubare le credenziali degli utenti.

 

Questo viene fatto attraverso tecniche di iniezione di overlay e keylogging. L’iniezione di overlay consente al malware di sovrapporre una falsa schermata di login su un’app legittima, ingannando l’utente a inserire le proprie credenziali che vengono poi catturate dal malware.

Il keylogging, invece, registra ogni tasto premuto dall’utente, permettendo al malware di catturare le credenziali mentre vengono digitate.

Furto di Cookie e SMS

Il ‘Camaleonte’ è anche in grado di rubare i cookie dal dispositivo infetto. I cookie sono piccoli file che i siti web utilizzano per tracciare le attività online degli utenti e mantenere le sessioni di login.

Rubando i cookie, il malware può ottenere accesso non autorizzato ai siti web visitati dall’utente. Inoltre, il ‘Camaleonte’ può intercettare gli SMS dal dispositivo infetto, permettendo al malware di ottenere codici di verifica a due fattori e altre informazioni sensibili inviate tramite SMS.

Evasione e Persistenza

Il ‘Camaleonte’ utilizza una serie di tecniche per evitare il rilevamento e garantire la sua persistenza sul dispositivo infetto.

Queste includono controlli anti-emulazione, che permettono al malware di rilevare se il dispositivo è in un ambiente di analisi, e l’abuso del Servizio di Accessibilità di Android, che il malware utilizza per concedersi ulteriori permessi, disabilitare Google Play Protect e impedire all’utente di disinstallarlo.

In sintesi, le funzionalità malevole del ‘Camaleonte’ lo rendono un malware estremamente pericoloso, capace di compromettere seriamente la sicurezza dei dispositivi Android.

Gli utenti devono quindi fare attenzione a scaricare solo app da fonti affidabili e mantenere attive le funzioni di protezione del dispositivo.

LEGGI ANCHE: Come Spiare Cellulare: Riconoscere e Prevenire le Minacce alla Privacy

Evasione del Malware

All’avvio, il malware esegue una serie di controlli per evitare il rilevamento da parte del software di sicurezza. Questi controlli includono controlli anti-emulazione per rilevare se il dispositivo è rooted e se il debug è attivato, aumentando la probabilità che l’app sia in esecuzione in un ambiente di analisi.

Abuso del Servizio di Accessibilità

Se l’ambiente appare pulito, l’infezione prosegue e il ‘Camaleonte’ richiede alla vittima di consentirgli di utilizzare il Servizio di Accessibilità, che abusa per concedersi ulteriori permessi, disabilitare Google Play Protect e impedire all’utente di disinstallarlo.

Connessione con il C2 e Furto di Dati

Quando il malware ‘Camaleonte’ stabilisce la sua prima connessione con il server di comando e controllo (C2), invia una serie di informazioni dettagliate sul dispositivo infetto.

Queste informazioni includono la versione del dispositivo, il modello, lo stato root, il paese e la posizione precisa.

Questi dati vengono probabilmente utilizzati per creare un profilo dettagliato della nuova infezione, permettendo agli aggressori di personalizzare ulteriormente i loro attacchi.

Dopo aver stabilito la connessione con il C2, il malware inizia a caricare una serie di moduli malevoli in background.

Questi moduli sono progettati per rubare una vasta gamma di dati sensibili dall’utente. A seconda dell’entità che il malware sta cercando di impersonare, può aprire il suo URL legittimo in una WebView, una sorta di browser integrato, e iniziare a caricare i moduli malevoli.

Tra questi moduli, troviamo un ladro di cookie, che può rubare i cookie di sessione dell’utente per ottenere l’accesso ai suoi account online;

un keylogger, che registra ogni tasto premuto dall’utente per rubare le sue password e altre informazioni sensibili;
un iniettore di pagine di phishing, che può mostrare all’utente pagine web false progettate per rubare le sue credenziali di accesso;
un grabber di PIN/schemi di blocco dello schermo, che può rubare il codice di sblocco del dispositivo dell’utente; e un ladro di SMS, che può intercettare i messaggi di testo dell’utente, incluso i codici di autenticazione a due fattori (2FA), permettendo agli aggressori di bypassare le protezioni 2FA.

Questi moduli malevoli si basano sull’abuso dei Servizi di Accessibilità di Android per funzionare come previsto.

Questo permette al malware di monitorare il contenuto dello schermo, di ascoltare eventi specifici, di intervenire per modificare elementi dell’interfaccia utente o di inviare determinate chiamate API come necessario.

In questo modo, il ‘Camaleonte’ può operare in modo efficace e discreto, rubando una vasta gamma di dati sensibili senza che l’utente se ne accorga.

Abuso del Servizio di Accessibilità per il Furto di Dati

Questi includono un ladro di cookie, un keylogger, un iniettore di pagine di phishing, un grabber di PIN/schemi di blocco dello schermo e un ladro di SMS che può rubare password temporanee e aiutare gli aggressori a bypassare le protezioni 2FA.

La maggior parte di questi sistemi di furto di dati si basano sull’abuso dei Servizi di Accessibilità per funzionare come richiesto, permettendo al malware di monitorare il contenuto dello schermo, monitorare eventi specifici, intervenire per modificare elementi dell’interfaccia o inviare determinate chiamate API come necessario.

Prevenzione della Disinstallazione del Malware

Lo stesso servizio di sistema viene anche abusato per prevenire la disinstallazione del malware, identificando quando la vittima tenta di rimuovere l’app malevola e cancellando le sue variabili di preferenze condivise per far sembrare che non sia più presente nel dispositivo.

Malware Chameleon: una Minaccia Emergente

Il ‘Camaleonte’ rappresenta una nuova e sofisticata minaccia nel panorama dei malware per Android.

Questo trojan, scoperto per la prima volta dalla società di cybersecurity Cyble, ha mostrato una capacità unica di mimetizzare le sue operazioni malevole imitando applicazioni legittime di banche, agenzie governative e borse di criptovalute.

 

Il ‘Camaleonte’ è dotato di una serie di funzionalità malevole:

che vanno dal furto di credenziali attraverso iniezioni di overlay e keylogging, al furto di cookie e SMS dal dispositivo infetto. Questo malware è in grado di eseguire una serie di controlli all’avvio per evitare il rilevamento da parte del software di sicurezza, aumentando così le sue possibilità di infiltrarsi con successo nei dispositivi degli utenti.

Una delle caratteristiche più preoccupanti del ‘Camaleonte’ è

la sua capacità di abusare del Servizio di Accessibilità di Android.

Questo servizio, progettato per aiutare gli utenti con disabilità a utilizzare i loro dispositivi, può essere sfruttato dal malware per ottenere ulteriori permessi, disabilitare Google Play Protect e impedire all’utente di disinstallare l’applicazione infetta.

Inoltre, il ‘Camaleonte’ è in grado di stabilire una connessione con un server di comando e controllo (C2), inviando informazioni dettagliate sul dispositivo infetto e caricando moduli malevoli in background.

Questi moduli possono includere un ladro di cookie, un keylogger, un iniettore di pagine di phishing, un grabber di PIN/schemi di blocco dello schermo e un ladro di SMS.

Nonostante le sue attuali capacità, il ‘Camaleonte’ è ancora in fase di sviluppo e potrebbe acquisire ulteriori funzionalità e capacità nelle future versioni.

Gli utenti Android sono quindi invitati a rimanere vigili, a scaricare solo software da negozi ufficiali e a garantire che Google Play Protect sia sempre abilitato per proteggere i loro dispositivi da questa e altre minacce emergenti.

Consigli per gli Utenti Android

È fondamentale per gli utenti Android essere consapevoli di queste minacce e prendere le misure necessarie per proteggere i propri dispositivi.

Ricordate sempre di scaricare le app solo da fonti affidabili, come il Google Play Store, e di mantenere attive le funzioni di protezione, come Google Play Protect.

Inoltre, è importante fare attenzione ai permessi che le app richiedono e evitare di concedere l’accesso a funzioni che non sono necessarie per il funzionamento dell’app.

  • WebXray
    WebXray: Il Motore di Ricerca che ti Dice chi ti Sta Spiando
    Viviamo in un’epoca in cui la nostra privacy online è costantemente minacciata. Ogni click, ogni ricerca, ogni interazione lascia una traccia digitale che può essere monitorata e analizzata. Questo articolo esplorerà l’importanza del motore di ricerca WebXray nel contesto della privacy e del tracciamento online. Contenuto1 Il Tracciamento Online: Un…
  • openai-lancia-searchgpt-motore-di-ricerca-dotato-di-ai
    OpenAI Lancia SearchGPT: Motore di Ricerca dotato di AI
    OpenAI ha recentemente annunciato il lancio di SearchGPT, un innovativo motore di ricerca basato su intelligenza artificiale (AI). Questo sviluppo rappresenta un significativo passo avanti nella tecnologia di ricerca, offrendo un’alternativa potenzialmente rivoluzionaria ai motori di ricerca tradizionali come Google. In questo articolo, esploreremo le caratteristiche di SearchGPT, le sue…
  • come-avere-internet-con-la-parabola
    Come Avere Internet con la Parabola: Un Viaggio Nella Connettività
    Come avere internet con la parabola? Era una tipica giornata di primavera nel piccolo villaggio di Montelupo, quando Maria, una donna di mezza età con una grande passione per la tecnologia, si trovò di fronte a un dilemma. Nonostante la bellezza incontaminata del luogo, c’era un grande svantaggio: l’accesso a…
  • hacked-leaked-exposed-perche-dovresti-smettere-di-usare-app-spia
    Hacked, Leaked, Exposed: Perché dovresti smettere di usare app spia
    Le app spia, note anche come stalkerware, sono software che consentono di monitorare le attività di un dispositivo senza che l’utente ne sia consapevole. Queste app possono essere utilizzate per tracciare la posizione, leggere messaggi, ascoltare conversazioni e molto altro. Tuttavia, l’uso di queste applicazioni comporta gravi rischi per la…
  • avvistamenti-ufo
    Avvistamenti UFO: Miti, Realtà e Misteri del Cielo
    Avvistamenti UFO (oggetti volanti non identificati) hanno affascinato l’umanità per decenni. Questi fenomeni misteriosi hanno generato numerose teorie, studi scientifici e dibattiti accesi. In questo articolo, esploreremo la storia degli avvistamenti UFO, analizzeremo alcuni dei casi più celebri e discuteremo le teorie e le prove che circondano questi eventi enigmatici.…
  • screenshot-di-una-storia-di-instagram-senza-notifica
    Screenshot di una storia di Instagram senza notifica
    Catturare momenti su Instagram è una pratica comune. Tuttavia, la piattaforma avvisa gli utenti quando qualcuno fa lo screenshot delle loro storie, il che può costituire un problema di privacy. Questo articolo vi guiderà su come screenshottare una storia di Instagram senza avvisare l’utente ed esplorerà vari metodi per ottenere…
  • jammer-gps-ucraina
    Come Bloccare le Interferenze GPS con i Jammer in Ucraina
    Negli ultimi anni, le interferenze GPS e i jammer GPS sono diventati strumenti comuni nei conflitti moderni. In particolare, il jamming russo ha sollevato preoccupazioni in varie regioni, tra cui l’Ucraina e il Medio Oriente. Tuttavia, recenti studi e prove hanno dimostrato che è possibile contrastare efficacemente queste minacce. Questo…
  • mappa-agghiacciante-mostra-le-citta-statunitensi-che-verrebbero-spazzate-via-in-un-attacco-nucleare-durante-la-terza-guerra-mondiale
    Mappa Agghiacciante Mostra le Città Statunitensi che Verrebbero Spazzate Via in un Attacco Nucleare durante la Terza Guerra Mondiale
    Con l’aumento delle tensioni globali, la possibilità di un attacco nucleare è diventata una preoccupazione crescente per molte nazioni. In particolare, gli Stati Uniti sono spesso al centro di queste paure, dato il loro ruolo predominante sulla scena mondiale. Recentemente, una mappa agghiacciante ha mostrato quali città statunitensi sarebbero probabilmente…
  • curiosity-marte
    Curiosity Marte: Una Scoperta Casuale che Accende la Curiosità
    Curiosity Marte. La missione Curiosity su Marte, lanciata dalla NASA, continua a stupire gli scienziati con le sue scoperte rivoluzionarie. Recentemente, il rover ha fatto una scoperta accidentale che ha acceso la curiosità degli esperti e potrebbe avere implicazioni significative per la nostra comprensione del Pianeta Rosso. Contenuto1 La Missione…
  • gli-usa-preparano-jammer-contro-i-satelliti-di-russia-e-cina
    Gli Usa Preparano Jammer Contro i Satelliti di Russia e Cina
    Gli Stati Uniti stanno sviluppando una nuova generazione di dispositivi di jammer progettati per disturbare i satelliti nemici di Russia e Cina. Questo sviluppo fa parte di una strategia più ampia per garantire la supremazia nello spazio e proteggere le infrastrutture critiche. Contenuto1 La Minaccia dei Satelliti di Russia e…
Clicca per votare questo articolo!
[Voti: 4 Media: 4]

Autore

  • Francesco Polimeni

    Esperto blogger nel settore della sicurezza e della sorveglianza. Condivide la sua vasta esperienza in questo campo, offrendo consigli, approfondimenti e aggiornamenti sulle ultime tecnologie e tendenze in materia di sicurezza e privacy. La sua expertise nel settore è rinforzata dalla sua lunga carriera e dalla profonda conoscenza delle tecniche di sorveglianza e contro sorveglianza.

    Visualizza tutti gli articoli

Related posts

Leave a Comment