Malware ‘Camaleonte’: il nuovo pericolo per Android che imita app di banche, governi e criptovalute

Francesco Polimeni
malware

Introduzione al Malware ‘Camaleonte’

Malware, un nuovo trojan per Android, chiamato ‘Camaleonte’, ha preso di mira gli utenti in Australia e Polonia dall’inizio dell’anno, imitando la borsa di criptovalute CoinSpot, un’agenzia governativa australiana e la banca IKO. Il malware mobile è stato scoperto dalla società di cybersecurity Cyble, che ha segnalato la sua distribuzione attraverso siti web compromessi, allegati Discord e servizi di hosting Bitbucket.

Funzionalità Maliziose del ‘Camaleonte’: un’Analisi Dettagliata

Il malware ‘Camaleonte’ è dotato di una serie di funzionalità malevole che lo rendono particolarmente dannoso per gli utenti di dispositivi Android. Queste funzionalità sono progettate per rubare informazioni sensibili, compromettere la sicurezza del dispositivo e eludere i tentativi di rilevamento e rimozione.

Furto di Credenziali

Una delle principali funzionalità del ‘Camaleonte’ è la capacità di rubare le credenziali degli utenti.

Microspie e Telecamere Spia
Visita il nostro Spy Shop

Questo viene fatto attraverso tecniche di iniezione di overlay e keylogging. L’iniezione di overlay consente al malware di sovrapporre una falsa schermata di login su un’app legittima, ingannando l’utente a inserire le proprie credenziali che vengono poi catturate dal malware.

Il keylogging, invece, registra ogni tasto premuto dall’utente, permettendo al malware di catturare le credenziali mentre vengono digitate.

Furto di Cookie e SMS

Il ‘Camaleonte’ è anche in grado di rubare i cookie dal dispositivo infetto. I cookie sono piccoli file che i siti web utilizzano per tracciare le attività online degli utenti e mantenere le sessioni di login.

Rubando i cookie, il malware può ottenere accesso non autorizzato ai siti web visitati dall’utente. Inoltre, il ‘Camaleonte’ può intercettare gli SMS dal dispositivo infetto, permettendo al malware di ottenere codici di verifica a due fattori e altre informazioni sensibili inviate tramite SMS.

Evasione e Persistenza

Il ‘Camaleonte’ utilizza una serie di tecniche per evitare il rilevamento e garantire la sua persistenza sul dispositivo infetto.

Queste includono controlli anti-emulazione, che permettono al malware di rilevare se il dispositivo è in un ambiente di analisi, e l’abuso del Servizio di Accessibilità di Android, che il malware utilizza per concedersi ulteriori permessi, disabilitare Google Play Protect e impedire all’utente di disinstallarlo.

In sintesi, le funzionalità malevole del ‘Camaleonte’ lo rendono un malware estremamente pericoloso, capace di compromettere seriamente la sicurezza dei dispositivi Android.

Gli utenti devono quindi fare attenzione a scaricare solo app da fonti affidabili e mantenere attive le funzioni di protezione del dispositivo.

LEGGI ANCHE: Come Spiare Cellulare: Riconoscere e Prevenire le Minacce alla Privacy

Evasione del Malware

All’avvio, il malware esegue una serie di controlli per evitare il rilevamento da parte del software di sicurezza. Questi controlli includono controlli anti-emulazione per rilevare se il dispositivo è rooted e se il debug è attivato, aumentando la probabilità che l’app sia in esecuzione in un ambiente di analisi.

Abuso del Servizio di Accessibilità

Se l’ambiente appare pulito, l’infezione prosegue e il ‘Camaleonte’ richiede alla vittima di consentirgli di utilizzare il Servizio di Accessibilità, che abusa per concedersi ulteriori permessi, disabilitare Google Play Protect e impedire all’utente di disinstallarlo.

Connessione con il C2 e Furto di Dati

Quando il malware ‘Camaleonte’ stabilisce la sua prima connessione con il server di comando e controllo (C2), invia una serie di informazioni dettagliate sul dispositivo infetto.

Queste informazioni includono la versione del dispositivo, il modello, lo stato root, il paese e la posizione precisa.

Questi dati vengono probabilmente utilizzati per creare un profilo dettagliato della nuova infezione, permettendo agli aggressori di personalizzare ulteriormente i loro attacchi.

Dopo aver stabilito la connessione con il C2, il malware inizia a caricare una serie di moduli malevoli in background.

Questi moduli sono progettati per rubare una vasta gamma di dati sensibili dall’utente. A seconda dell’entità che il malware sta cercando di impersonare, può aprire il suo URL legittimo in una WebView, una sorta di browser integrato, e iniziare a caricare i moduli malevoli.

Tra questi moduli, troviamo un ladro di cookie, che può rubare i cookie di sessione dell’utente per ottenere l’accesso ai suoi account online;

un keylogger, che registra ogni tasto premuto dall’utente per rubare le sue password e altre informazioni sensibili;
un iniettore di pagine di phishing, che può mostrare all’utente pagine web false progettate per rubare le sue credenziali di accesso;
un grabber di PIN/schemi di blocco dello schermo, che può rubare il codice di sblocco del dispositivo dell’utente; e un ladro di SMS, che può intercettare i messaggi di testo dell’utente, incluso i codici di autenticazione a due fattori (2FA), permettendo agli aggressori di bypassare le protezioni 2FA.

Questi moduli malevoli si basano sull’abuso dei Servizi di Accessibilità di Android per funzionare come previsto.

Microspie e Telecamere Spia
Visita il nostro Spy Shop

Questo permette al malware di monitorare il contenuto dello schermo, di ascoltare eventi specifici, di intervenire per modificare elementi dell’interfaccia utente o di inviare determinate chiamate API come necessario.

In questo modo, il ‘Camaleonte’ può operare in modo efficace e discreto, rubando una vasta gamma di dati sensibili senza che l’utente se ne accorga.

Abuso del Servizio di Accessibilità per il Furto di Dati

Questi includono un ladro di cookie, un keylogger, un iniettore di pagine di phishing, un grabber di PIN/schemi di blocco dello schermo e un ladro di SMS che può rubare password temporanee e aiutare gli aggressori a bypassare le protezioni 2FA.

La maggior parte di questi sistemi di furto di dati si basano sull’abuso dei Servizi di Accessibilità per funzionare come richiesto, permettendo al malware di monitorare il contenuto dello schermo, monitorare eventi specifici, intervenire per modificare elementi dell’interfaccia o inviare determinate chiamate API come necessario.

Prevenzione della Disinstallazione del Malware

Lo stesso servizio di sistema viene anche abusato per prevenire la disinstallazione del malware, identificando quando la vittima tenta di rimuovere l’app malevola e cancellando le sue variabili di preferenze condivise per far sembrare che non sia più presente nel dispositivo.

Malware Chameleon: una Minaccia Emergente

Il ‘Camaleonte’ rappresenta una nuova e sofisticata minaccia nel panorama dei malware per Android.

Questo trojan, scoperto per la prima volta dalla società di cybersecurity Cyble, ha mostrato una capacità unica di mimetizzare le sue operazioni malevole imitando applicazioni legittime di banche, agenzie governative e borse di criptovalute.

Il ‘Camaleonte’ è dotato di una serie di funzionalità malevole:

che vanno dal furto di credenziali attraverso iniezioni di overlay e keylogging, al furto di cookie e SMS dal dispositivo infetto. Questo malware è in grado di eseguire una serie di controlli all’avvio per evitare il rilevamento da parte del software di sicurezza, aumentando così le sue possibilità di infiltrarsi con successo nei dispositivi degli utenti.

Una delle caratteristiche più preoccupanti del ‘Camaleonte’ è

la sua capacità di abusare del Servizio di Accessibilità di Android.

Questo servizio, progettato per aiutare gli utenti con disabilità a utilizzare i loro dispositivi, può essere sfruttato dal malware per ottenere ulteriori permessi, disabilitare Google Play Protect e impedire all’utente di disinstallare l’applicazione infetta.

Inoltre, il ‘Camaleonte’ è in grado di stabilire una connessione con un server di comando e controllo (C2), inviando informazioni dettagliate sul dispositivo infetto e caricando moduli malevoli in background.

Questi moduli possono includere un ladro di cookie, un keylogger, un iniettore di pagine di phishing, un grabber di PIN/schemi di blocco dello schermo e un ladro di SMS.

Nonostante le sue attuali capacità, il ‘Camaleonte’ è ancora in fase di sviluppo e potrebbe acquisire ulteriori funzionalità e capacità nelle future versioni.

Gli utenti Android sono quindi invitati a rimanere vigili, a scaricare solo software da negozi ufficiali e a garantire che Google Play Protect sia sempre abilitato per proteggere i loro dispositivi da questa e altre minacce emergenti.

Consigli per gli Utenti Android

È fondamentale per gli utenti Android essere consapevoli di queste minacce e prendere le misure necessarie per proteggere i propri dispositivi.

Ricordate sempre di scaricare le app solo da fonti affidabili, come il Google Play Store, e di mantenere attive le funzioni di protezione, come Google Play Protect.

Inoltre, è importante fare attenzione ai permessi che le app richiedono e evitare di concedere l’accesso a funzioni che non sono necessarie per il funzionamento dell’app.

  • quando-chiamare-un-investigatore-privato
    Quando chiamare un investigatore privato?
    Quando chiamare un investigatore privato? A volte, nella vita ci si trova in situazioni in cui la verità sembra sfuggire, e più ci si avvicina, più appare intangibile. È in questi momenti che ci si chiede: “Dovrei chiamare un investigatore privato?” La risposta potrebbe non essere sempre ovvia, ma in…
  • Proteggersi dalle Intercettazioni: Tecniche, Dispositivi e Privacy
    Nel mondo iperconnesso di oggi, proteggere le proprie conversazioni e i dati sensibili è diventato fondamentale. Le intercettazioni telefoniche e ambientali rappresentano una minaccia sempre più diffusa, soprattutto con l’evoluzione delle tecnologie di spionaggio. Se pensi che siano pratiche riservate solo a film di spionaggio o a personaggi di alto…
  • confronto-tra-microregistratori-digitali-e-analogici
    Confronto tra microregistratori digitali e analogici
    Nel corso della mia carriera come tecnico elettronico, ho avuto l’opportunità di assistere all’evoluzione dei dispositivi di registrazione audio portatili. Dai robusti microregistratori analogici ai sofisticati modelli digitali di oggi, il cambiamento è stato rivoluzionario. Vorrei condividere con voi un confronto dettagliato tra microregistratori digitali e microregistratori analogici, evidenziando le…
  • sviluppo-di-microregistratori-con-intelligenza-artificiale
    Sviluppo di Microregistratori con intelligenza artificiale
    Negli ultimi anni, il campo dell’elettronica ha visto un’incredibile evoluzione, e i microregistratori non fanno eccezione. L’integrazione dell’intelligenza artificiale (IA) ha aperto nuove frontiere, trasformando questi dispositivi da semplici strumenti di registrazione a potenti alleati dotati di funzionalità avanzate. Ricordo ancora quando, da giovane tecnico elettronico, armeggiavo con i primi…
  • a-cosa-serve-fare-il-backup
    A cosa serve fare il backup?
    A cosa serve fare il backup? Quando si parla di sicurezza digitale, una delle prime domande che viene in mente è: a cosa serve fare il backup? Questa pratica, spesso sottovalutata, è fondamentale per garantire la sicurezza dei propri dati e per evitare perdite potenzialmente disastrose. In questo articolo esploreremo…
  • qual-e-il-miglior-wi-fi-per-casa
    Qual è il miglior Wi-Fi per casa?
    Oggi, avere una connessione Wi-Fi stabile ed efficiente è essenziale in ogni casa. Tra lo smart working, lo streaming, i giochi online e la domotica, la qualità della rete Wi-Fi può influire notevolmente sulla nostra quotidianità. Ma qual è il miglior Wi-Fi per casa? Questa domanda può sembrare semplice, ma…
  • quali-sono-i-casino-online-piu-sicuri
    Quali sono i casinò online più sicuri?
    Quali sono i casinò online più sicuri? Il mondo del gioco online è vasto e in continua crescita, ma una delle domande principali che ogni giocatore si pone è: Quali sono i casinò online più sicuri? Questa è una domanda fondamentale, poiché giocare su piattaforme non sicure può portare a…
  • come-clonare-whatsapp-su-un-altro-telefono
    Come clonare WhatsApp su un altro telefono?
    Come clonare WhatsApp su un altro telefono? WhatsApp è una delle applicazioni di messaggistica più popolari al mondo, e per questo motivo spesso ci si domanda se sia possibile clonarla su un altro dispositivo. Le motivazioni possono essere molteplici, ma è essenziale sapere che la clonazione di un’applicazione come WhatsApp…
  • come-caricare-la-batteria-del-telefono-senza-caricatore
    Come caricare la batteria del telefono senza caricatore: 7 metodi
    A volte può capitare di trovarsi con la batteria del telefono scarica e senza un caricatore a disposizione. Fortunatamente, esistono diverse soluzioni che possono aiutarti a risolvere questo problema, anche in situazioni d’emergenza. In questo articolo, ti guiderò passo passo su come caricare la batteria del telefono senza caricatore, illustrandoti…
  • come-usare-cellulare-come-modem
    Come usare cellulare come modem
    Come usare cellulare come modem? Il cellulare è ormai un dispositivo multifunzione che può essere usato in tantissimi modi, tra cui la possibilità di utilizzarlo come modem per connettere altri dispositivi a Internet. Questa funzionalità, chiamata anche tethering, può essere estremamente utile quando non si ha accesso a una rete…
Clicca per votare questo articolo!
[Voti: 4 Media: 4]

Autore

  • Francesco Polimeni

    Francesco Polimeni è un esperto riconosciuto nel campo del Technical Surveillance Counter Measures (TSCM), con oltre trent'anni di esperienza nel settore della sicurezza e del controspionaggio.

    Dopo una carriera come agente della Polizia di Stato, ha fondato Polinet S.r.l. a Roma, un'azienda leader nelle bonifiche elettroniche e nella vendita di dispositivi di sorveglianza.

    Dal 2001 è Amministratore Unico della Polinet S.r.l., tra le società leader in Italia esperte in tecnologie di Controsorveglianza e Anti Intercettazioni.

    La sua specializzazione include la bonifica di microspie in ambienti privati e professionali, nonché la rimozione di localizzatori GPS nascosti nei veicoli.

    Polimeni è anche un volto noto nei media italiani, avendo partecipato a numerose trasmissioni televisive di rilievo come "Porta a Porta" e "Matrix", dove è spesso invitato come esperto per discutere di tematiche legate alla sicurezza delle informazioni e al controspionaggio.

    La sua attività non si limita alla capitale; infatti, offre i suoi servizi di bonifica in tutta Italia, mantenendo un alto livello di riservatezza e professionalità in ogni intervento.

    Francesco Polimeni è iscritto al Ruolo Periti ed Esperti dalla C.C.I.A.A. di Roma al numero *** RM-2368 *** quale "Esperto in Sistemi di Prevenzione del Crimine".

    Competenze chiave:

    - Bonifiche elettroniche e rimozione di dispositivi di sorveglianza

    - Consulenze tecniche per la prevenzione del crimine

    - Utilizzo di tecnologie avanzate per il rilevamento di localizzatori GPS

    - Esperienza pluriennale nel settore TSCM e controspionaggio

    Visualizza tutti gli articoli

Related posts

Leave a Comment