Chameleon: malware Android rouba dados biométricos para aceder a informação bancária

O Android está de forma quase constante exposto a ataques de malware e de outros tipos. A natureza do sistema da Google dá azo a esses cenários, algo que não seria esperado. Um novo, o Chameleon, está ativo e procura roubar dados biométricos para depois aceder a informação bancária do utilizador.

Há um novo ataque de malware no Android

O malware bancário Chameleon não é uma novidade no Android. Descoberto no início de 2023, volta agora ao ativo, numa nova versão que usa uma técnica complicada para assumir o controlo dos dispositivos: desativa a impressão digital e o desbloqueio facial para roubar o PIN dos dispositivos.

Para isso ele usa uma página HTML falsa para obter acesso ao serviço de acessibilidade do Android. Além disso, este é um método para interromper as validações biométricas e assim roubar o PIN e desbloquear o dispositivo à sua vontade.

Chameleon rouba dos dados biométricos do utilizador

Os investigadores da empresa de segurança ThreatFabric relatam ser agora distribuído através do serviço Zombinder, simulando o conhecido Google Chrome. Este cola o malware em apps Android legítimas para as vítimas poderem aproveitar todas as funcionalidades das apps que pretendem instalar, diminuindo a probabilidade de suspeitarem que um código malicioso está a ser executado em segundo plano.

O primeiro novo recurso visto nesta variante do Chameleon é a capacidade de exibir uma página HTML em dispositivos com Android 13 e posterior. Esta solicita às vítimas que concedam a permissão à app para usar o serviço de acessibilidade.

O segundo novo recurso notável é a capacidade de interromper operações biométricas no dispositivo, como impressão digital e desbloqueio facial. Para isso usam o serviço de acessibilidade para forçar um regresso à autenticação por PIN ou password. Estes dados são depois usados para desbloquear o smartphone e para realizar atividades maliciosas ocultas.

Muito cuidado com as apps que instala no smartphone

Por fim, os investigadores relataram que o Chameleon adiciona o agendamento de tarefas recorrendo à API AlarmManager para gerir os períodos de atividade e definir o tipo de atividade. Dependendo se a acessibilidade está ativa ou inativa, o malware adapta-se para lançar ataques de sobreposição ou realizar a recolha de dados de utilização da app para decidir o melhor momento para o ataque.

Para manter a ameaça do malware Chameleon longe dos utilizadores, a fórmula é a habitual. Devem evitar instalar apps de fontes desconhecidas e não oficiais, sendo este o principal ponto de ataque. Além disso, devem garantir que o Play Protect do Android está ativo e a efetuar verificações regulares, para assim garantir que o smartphone está livre de malware e adware.