Pesquisadores de segurança cibernética revelaram uma nova técnica adotada por cibercriminosos por trás do trojan bancário Chameleon Android, que tem como alvo usuários no Canadá, se passando por um aplicativo de gerenciamento de relacionamento com o cliente (CRM).
“O Chameleon foi visto se passando por um aplicativo de CRM, visando uma rede de restaurantes canadense que opera internacionalmente”, disse a empresa de segurança holandesa ThreatFabric em um relatório técnico publicado na segunda-feira.
A campanha, descoberta em julho de 2024, teve como alvo clientes no Canadá e na Europa, indicando uma expansão de sua presença na vitimização na Austrália, Itália, Polônia e Reino Unido.
O uso de temas relacionados a CRM para aplicativos dropper maliciosos que contêm malware aponta que os alvos são clientes do setor de hospitalidade e funcionários de empresas B2C (Enterprise-to-Shopper).
Os artefatos do dropper também foram projetados para ignorar as Configurações Restritas impostas pelo Google no Android 13 e versões posteriores, a fim de evitar que aplicativos carregados lateralmente solicitem permissões perigosas (por exemplo, serviços de acessibilidade), uma técnica empregada anteriormente pelo SecuriDroper e Brokewell.
Uma vez instalado, o aplicativo exibe uma página de login falsa para uma ferramenta de CRM e, em seguida, exibe uma mensagem de erro falsa solicitando que as vítimas reinstalem o aplicativo, quando, na realidade, ele implanta a carga útil do Chameleon.
Essa etapa é seguida pelo carregamento da página da net falsa do CRM novamente, dessa vez solicitando que eles concluam o processo de login, apenas para exibir uma mensagem de erro diferente dizendo “Sua conta ainda não foi ativada. Entre em contato com o departamento de RH”.
O Chameleon está equipado para conduzir fraudes no dispositivo (ODF) e transferir fundos de usuários de forma fraudulenta, ao mesmo tempo em que aproveita sobreposições e suas amplas permissões para coletar credenciais, listas de contatos, mensagens SMS e informações de geolocalização.
“Se os invasores tiverem sucesso em infectar um dispositivo com acesso a serviços bancários corporativos, o Chameleon obtém acesso a contas bancárias comerciais e representa um risco significativo para a organização”, disse ThreatFabric. “A maior probabilidade de tal acesso para funcionários cujas funções envolvem CRM é a provável razão por trás da escolha do mascaramento durante esta última campanha.”
O desenvolvimento ocorre semanas após o IBM X-Drive detalhar uma campanha de malware bancário na América Latina realizada pelo grupo CyberCartel para roubar credenciais e dados financeiros, bem como distribuir um trojan chamado Caiman por meio de extensões maliciosas do Google Chrome.
“O objetivo closing dessas atividades maliciosas é instalar um plugin de navegador prejudicial no navegador da vítima e usar a técnica Man-in-the-Browser”, disse a empresa.
“Isso permite que os invasores coletem ilegalmente informações bancárias confidenciais, juntamente com outros dados relevantes, como informações de máquinas comprometidas e capturas de tela sob demanda. Atualizações e configurações são disseminadas por meio de um canal do Telegram pelos agentes da ameaça.”
