El malware «Chameleon» ha resurgido, esta vez disfrazado de una aplicación de gestión de relaciones con clientes (CRM). Dirigido a usuarios en Canadá y Europa, este troyano para Android se enfoca en trabajadores B2C y la industria de la restauración. Utiliza técnicas avanzadas para evadir las restricciones de seguridad en Android 13 y versiones posteriores, permitiendo a los atacantes robar credenciales, realizar fraudes bancarios y acceder a datos sensibles.

Este troyano para Android ha vuelto a aparecer en escena, ahora bajo la apariencia de una falsa aplicación de gestión de relaciones con clientes (CRM). Según un informe reciente de ThreatFabric, este malware ha sido detectado inicialmente en dispositivos de usuarios en Canadá y Europa, atacando específicamente a una cadena de restaurantes canadiense con operaciones internacionales.

Chameleon utiliza tácticas avanzadas para evitar las medidas de seguridad implementadas en las versiones más recientes de Android, como la 13 y posteriores. Los artefactos de dropper que emplea están diseñados para sortear las configuraciones de seguridad de Google, permitiendo que la aplicación maliciosa solicite permisos inseguros, incluidos los servicios de accesibilidad. Esta técnica ya había sido empleada por otros malware conocidos como SecuriDroper y Brokewell.

Una vez instalado, el malware se presenta como una aplicación CRM legítima, mostrando una página de inicio de sesión falsa. Si el usuario intenta acceder, se le muestra un mensaje de error que sugiere que reinstale la aplicación, momento en el que Chameleon despliega su carga útil. Posteriormente, el sitio web falso del CRM se recarga y se solicita nuevamente al usuario que inicie sesión. Sin embargo, un nuevo mensaje de error informa que la cuenta no ha sido activada, dirigiendo a la víctima a contactar con el departamento de recursos humanos.

Este troyano bancario no solo es capaz de robar credenciales y datos sensibles como listas de contactos, mensajes SMS y datos de geolocalización, sino que también puede llevar a cabo fraudes directamente en el dispositivo (ODF). Chameleon representa una amenaza significativa, especialmente si logra comprometer dispositivos con acceso a cuentas bancarias corporativas, poniendo en riesgo a toda la organización.

Más información:

Chameleon Banking Trojan Makes a Comeback Cloaked as CRM App https://www.darkreading.com/endpoint-security/chameleon-banking-trojan-makes-a-comeback-cloaked-as-crm-app
Cybercriminals target Canadian restaurant chain with Chameleon malware https://therecord.media/chameleon-malware-crm-software-canadian-restaurant-chain
Chameleon is now targeting employees: Masquerading as a CRM app https://www.threatfabric.com/blogs/chameleon-is-now-targeting-employees-masquerading-as-crm-app