Malware ‘Camaleonte’: il nuovo pericolo per Android che imita app di banche, governi e criptovalute

Francesco Polimeni
malware

Introduzione al Malware ‘Camaleonte’

Malware, un nuovo trojan per Android, chiamato ‘Camaleonte’, ha preso di mira gli utenti in Australia e Polonia dall’inizio dell’anno, imitando la borsa di criptovalute CoinSpot, un’agenzia governativa australiana e la banca IKO. Il malware mobile è stato scoperto dalla società di cybersecurity Cyble, che ha segnalato la sua distribuzione attraverso siti web compromessi, allegati Discord e servizi di hosting Bitbucket.

Funzionalità Maliziose del ‘Camaleonte’: un’Analisi Dettagliata

Il malware ‘Camaleonte’ è dotato di una serie di funzionalità malevole che lo rendono particolarmente dannoso per gli utenti di dispositivi Android. Queste funzionalità sono progettate per rubare informazioni sensibili, compromettere la sicurezza del dispositivo e eludere i tentativi di rilevamento e rimozione.

Furto di Credenziali

Una delle principali funzionalità del ‘Camaleonte’ è la capacità di rubare le credenziali degli utenti.

Microspie e Telecamere Spia
Visita il nostro Spy Shop

Questo viene fatto attraverso tecniche di iniezione di overlay e keylogging. L’iniezione di overlay consente al malware di sovrapporre una falsa schermata di login su un’app legittima, ingannando l’utente a inserire le proprie credenziali che vengono poi catturate dal malware.

Il keylogging, invece, registra ogni tasto premuto dall’utente, permettendo al malware di catturare le credenziali mentre vengono digitate.

Furto di Cookie e SMS

Il ‘Camaleonte’ è anche in grado di rubare i cookie dal dispositivo infetto. I cookie sono piccoli file che i siti web utilizzano per tracciare le attività online degli utenti e mantenere le sessioni di login.

Rubando i cookie, il malware può ottenere accesso non autorizzato ai siti web visitati dall’utente. Inoltre, il ‘Camaleonte’ può intercettare gli SMS dal dispositivo infetto, permettendo al malware di ottenere codici di verifica a due fattori e altre informazioni sensibili inviate tramite SMS.

Evasione e Persistenza

Il ‘Camaleonte’ utilizza una serie di tecniche per evitare il rilevamento e garantire la sua persistenza sul dispositivo infetto.

Queste includono controlli anti-emulazione, che permettono al malware di rilevare se il dispositivo è in un ambiente di analisi, e l’abuso del Servizio di Accessibilità di Android, che il malware utilizza per concedersi ulteriori permessi, disabilitare Google Play Protect e impedire all’utente di disinstallarlo.

In sintesi, le funzionalità malevole del ‘Camaleonte’ lo rendono un malware estremamente pericoloso, capace di compromettere seriamente la sicurezza dei dispositivi Android.

Gli utenti devono quindi fare attenzione a scaricare solo app da fonti affidabili e mantenere attive le funzioni di protezione del dispositivo.

LEGGI ANCHE: Come Spiare Cellulare: Riconoscere e Prevenire le Minacce alla Privacy

Evasione del Malware

All’avvio, il malware esegue una serie di controlli per evitare il rilevamento da parte del software di sicurezza. Questi controlli includono controlli anti-emulazione per rilevare se il dispositivo è rooted e se il debug è attivato, aumentando la probabilità che l’app sia in esecuzione in un ambiente di analisi.

Abuso del Servizio di Accessibilità

Se l’ambiente appare pulito, l’infezione prosegue e il ‘Camaleonte’ richiede alla vittima di consentirgli di utilizzare il Servizio di Accessibilità, che abusa per concedersi ulteriori permessi, disabilitare Google Play Protect e impedire all’utente di disinstallarlo.

Connessione con il C2 e Furto di Dati

Quando il malware ‘Camaleonte’ stabilisce la sua prima connessione con il server di comando e controllo (C2), invia una serie di informazioni dettagliate sul dispositivo infetto.

Queste informazioni includono la versione del dispositivo, il modello, lo stato root, il paese e la posizione precisa.

Questi dati vengono probabilmente utilizzati per creare un profilo dettagliato della nuova infezione, permettendo agli aggressori di personalizzare ulteriormente i loro attacchi.

Dopo aver stabilito la connessione con il C2, il malware inizia a caricare una serie di moduli malevoli in background.

Questi moduli sono progettati per rubare una vasta gamma di dati sensibili dall’utente. A seconda dell’entità che il malware sta cercando di impersonare, può aprire il suo URL legittimo in una WebView, una sorta di browser integrato, e iniziare a caricare i moduli malevoli.

Tra questi moduli, troviamo un ladro di cookie, che può rubare i cookie di sessione dell’utente per ottenere l’accesso ai suoi account online;

un keylogger, che registra ogni tasto premuto dall’utente per rubare le sue password e altre informazioni sensibili;
un iniettore di pagine di phishing, che può mostrare all’utente pagine web false progettate per rubare le sue credenziali di accesso;
un grabber di PIN/schemi di blocco dello schermo, che può rubare il codice di sblocco del dispositivo dell’utente; e un ladro di SMS, che può intercettare i messaggi di testo dell’utente, incluso i codici di autenticazione a due fattori (2FA), permettendo agli aggressori di bypassare le protezioni 2FA.

Questi moduli malevoli si basano sull’abuso dei Servizi di Accessibilità di Android per funzionare come previsto.

Questo permette al malware di monitorare il contenuto dello schermo, di ascoltare eventi specifici, di intervenire per modificare elementi dell’interfaccia utente o di inviare determinate chiamate API come necessario.

In questo modo, il ‘Camaleonte’ può operare in modo efficace e discreto, rubando una vasta gamma di dati sensibili senza che l’utente se ne accorga.

Abuso del Servizio di Accessibilità per il Furto di Dati

Questi includono un ladro di cookie, un keylogger, un iniettore di pagine di phishing, un grabber di PIN/schemi di blocco dello schermo e un ladro di SMS che può rubare password temporanee e aiutare gli aggressori a bypassare le protezioni 2FA.

La maggior parte di questi sistemi di furto di dati si basano sull’abuso dei Servizi di Accessibilità per funzionare come richiesto, permettendo al malware di monitorare il contenuto dello schermo, monitorare eventi specifici, intervenire per modificare elementi dell’interfaccia o inviare determinate chiamate API come necessario.

Prevenzione della Disinstallazione del Malware

Lo stesso servizio di sistema viene anche abusato per prevenire la disinstallazione del malware, identificando quando la vittima tenta di rimuovere l’app malevola e cancellando le sue variabili di preferenze condivise per far sembrare che non sia più presente nel dispositivo.

Malware Chameleon: una Minaccia Emergente

Il ‘Camaleonte’ rappresenta una nuova e sofisticata minaccia nel panorama dei malware per Android.

Questo trojan, scoperto per la prima volta dalla società di cybersecurity Cyble, ha mostrato una capacità unica di mimetizzare le sue operazioni malevole imitando applicazioni legittime di banche, agenzie governative e borse di criptovalute.

Il ‘Camaleonte’ è dotato di una serie di funzionalità malevole:

che vanno dal furto di credenziali attraverso iniezioni di overlay e keylogging, al furto di cookie e SMS dal dispositivo infetto. Questo malware è in grado di eseguire una serie di controlli all’avvio per evitare il rilevamento da parte del software di sicurezza, aumentando così le sue possibilità di infiltrarsi con successo nei dispositivi degli utenti.

Una delle caratteristiche più preoccupanti del ‘Camaleonte’ è

la sua capacità di abusare del Servizio di Accessibilità di Android.

Questo servizio, progettato per aiutare gli utenti con disabilità a utilizzare i loro dispositivi, può essere sfruttato dal malware per ottenere ulteriori permessi, disabilitare Google Play Protect e impedire all’utente di disinstallare l’applicazione infetta.

Microspie e Telecamere Spia
Visita il nostro Spy Shop

Inoltre, il ‘Camaleonte’ è in grado di stabilire una connessione con un server di comando e controllo (C2), inviando informazioni dettagliate sul dispositivo infetto e caricando moduli malevoli in background.

Questi moduli possono includere un ladro di cookie, un keylogger, un iniettore di pagine di phishing, un grabber di PIN/schemi di blocco dello schermo e un ladro di SMS.

Nonostante le sue attuali capacità, il ‘Camaleonte’ è ancora in fase di sviluppo e potrebbe acquisire ulteriori funzionalità e capacità nelle future versioni.

Gli utenti Android sono quindi invitati a rimanere vigili, a scaricare solo software da negozi ufficiali e a garantire che Google Play Protect sia sempre abilitato per proteggere i loro dispositivi da questa e altre minacce emergenti.

Consigli per gli Utenti Android

È fondamentale per gli utenti Android essere consapevoli di queste minacce e prendere le misure necessarie per proteggere i propri dispositivi.

Ricordate sempre di scaricare le app solo da fonti affidabili, come il Google Play Store, e di mantenere attive le funzioni di protezione, come Google Play Protect.

Inoltre, è importante fare attenzione ai permessi che le app richiedono e evitare di concedere l’accesso a funzioni che non sono necessarie per il funzionamento dell’app.

  • airtag-come-funziona
    AirTag Come Funziona? Guida Completa per Scoprire i Dettagli
    AirTag Come Funziona? Gli AirTag Apple sono piccoli dispositivi che hanno rivoluzionato il modo di tenere traccia dei nostri oggetti più preziosi. Ma AirTag come funziona, quali sono i suoi limiti e come si configura? In questo articolo esploreremo tutte le funzionalità, i vantaggi, e anche i potenziali svantaggi, aiutandoti…
  • che-sia-un-natale-frasi
    Frasi di Natale Brevi per Festeggiare con Calore
    Che sia un natale frasi? Il Natale non è solo un periodo di doni e festeggiamenti, ma anche un momento per esprimere affetto e gratitudine attraverso le parole. Scegliere le frasi di Natale brevi e giuste per i biglietti di auguri o i messaggi di Natale è essenziale per trasmettere…
  • sopravvivere-alla-carestia-post-nucleare-una-guida-essenziale
    Guerra Nucleare: sopravvivere con un kit sopravvivenza
    Guerra nucleare. In un mondo dove la minaccia post nucleare rimane una preoccupante realtà, prepararsi a sopravvivere con un kit sopravvivenza a una potenziale carestia post-nucleare è diventato un argomento di vitale importanza. Questo articolo offre una guida essenziale su come affrontare e superare le sfide di un simile scenario,…
  • panic-room
    Panic Room Cos’è e Come Realizzarne una in Casa
    La panic room è un ambiente sicuro progettato per proteggere le persone da pericoli esterni, come intrusioni, calamità naturali o situazioni di emergenza. Sempre più persone scelgono di realizzarne una in casa o in ufficio, per garantire maggiore sicurezza. Ma cos’è una panic room nel dettaglio e come è possibile…
  • controllare-telefono-da-remoto
    Come controllare telefono da remoto? Vediamolo insieme
    Come controllare telefono da remoto? Nell’era digitale, la capacità di controllare telefono da remoto è diventata non solo una comodità ma anche una necessità per molti. Che si tratti di gestire dati lavorativi o semplicemente di accedere al proprio dispositivo da un’altra stanza, le soluzioni di controllo remoto offrono flessibilità…
  • come-rendere-invisibile-nome-instagram
    Come rendere invisibile il tuo nome Instagram?
    Instagram è una delle piattaforme di social media più popolari e le sue funzionalità consentono agli utenti di esprimersi in modo creativo. Un trucco unico è rendere invisibile il tuo nome Instagram, un trucco che incuriosisce molti utenti che vogliono distinguersi con un profilo pulito e minimalista. Inoltre, abbinarlo a…
  • come-si-fa-a-trovare-la-password-dimenticata
    Recupero Password: come trovare la password dimenticata?
    Recupero Password Gmail? A tutti capita di dimenticare una password. Che sia quella di Gmail, Facebook o del tuo Wi-Fi di casa, ritrovarsi bloccati fuori dai propri account può essere davvero frustrante. Ma non preoccuparti! In questa guida ti spiegheremo passo passo come recuperare l’accesso a tutti i tuoi account…
  • come-ragiona-uno-stalker
    Come Ragiona uno Stalker: Capire i Segnali per Difendersi
    La tematica dello stalking è complessa e delicata, ma fondamentale per comprendere il comportamento di chi lo mette in atto e per sapere come difendersi. In questo articolo esploreremo come ragiona uno stalker, analizzando i profili psicologici più comuni e fornendo consigli pratici per gestire situazioni difficili. Se hai vissuto…
  • vendita-spray-al-peperoncino-a-roma
    Vendita Spray al Peperoncino a Roma: Tutto Ciò che Devi Sapere
    Sei alla ricerca di informazioni sulla vendita di spray al peperoncino a Roma? Sei nel posto giusto! Questo articolo ti guiderà passo passo su come acquistare uno spray al peperoncino, dove trovarlo, quali sono le opzioni più potenti disponibili e quali sono i costi, aiutandoti a fare la scelta migliore…
  • perche-dire-stop-al-bullismo
    Perché dire stop al bullismo?
    Il bullismo è una piaga che colpisce milioni di persone in tutto il mondo, e la necessità di fermarlo non è mai stata così urgente. Parlare di bullismo e cyberbullismo è fondamentale per promuovere una cultura di rispetto e inclusione, soprattutto tra i più giovani. In questo articolo, esploreremo perché…
Clicca per votare questo articolo!
[Voti: 4 Media: 4]

Autore

  • Francesco Polimeni è un esperto riconosciuto nel campo del Technical Surveillance Counter Measures (TSCM), con oltre trent'anni di esperienza nel settore della sicurezza e del controspionaggio.

    Dopo una carriera come agente della Polizia di Stato, ha fondato Polinet S.r.l. a Roma, un'azienda leader nelle bonifiche elettroniche e nella vendita di dispositivi di sorveglianza.

    Dal 2001 è Amministratore Unico della Polinet S.r.l., tra le società leader in Italia esperte in tecnologie di Controsorveglianza e Anti Intercettazioni.

    La sua specializzazione include la bonifica di microspie in ambienti privati e professionali, nonché la rimozione di localizzatori GPS nascosti nei veicoli.

    Polimeni è anche un volto noto nei media italiani, avendo partecipato a numerose trasmissioni televisive di rilievo come "Porta a Porta" e "Matrix", dove è spesso invitato come esperto per discutere di tematiche legate alla sicurezza delle informazioni e al controspionaggio.

    La sua attività non si limita alla capitale; infatti, offre i suoi servizi di bonifica in tutta Italia, mantenendo un alto livello di riservatezza e professionalità in ogni intervento.

    Francesco Polimeni è iscritto al Ruolo Periti ed Esperti dalla C.C.I.A.A. di Roma al numero *** RM-2368 *** quale "Esperto in Sistemi di Prevenzione del Crimine".

    Competenze chiave:

    - Bonifiche elettroniche e rimozione di dispositivi di sorveglianza

    - Consulenze tecniche per la prevenzione del crimine

    - Utilizzo di tecnologie avanzate per il rilevamento di localizzatori GPS

    - Esperienza pluriennale nel settore TSCM e controspionaggio

    Visualizza tutti gli articoli

Related posts

Leave a Comment