Il trojan Chameleon, noto per la sua capacità di prendere il controllo dei dispositivi, ha recentemente ripreso le sue attività con nuove campagne mirate in Canada ed Europa. La minaccia ora si presenta sotto mentite spoglie, mascherandosi come un’applicazione di Customer Relationship Management (CRM) per ingannare i dipendenti di aziende B2C, in particolare nel settore della ristorazione e dell’ospitalità.
Nuovo attacco mirato ai Dipendenti
La campagna scoperta da ThreatFabric ha rivelato che Chameleon utilizza un approccio di mascheramento ingannevole, facendosi passare per un’app CRM. Questo stratagemma è stato utilizzato per colpire una catena di ristoranti canadese con operazioni internazionali. I nomi dei file caricati su VirusTotal suggeriscono un attacco mirato ai dipendenti, con l’obiettivo di ottenere accesso a conti bancari aziendali, sfruttando la maggiore probabilità che i lavoratori coinvolti in attività CRM abbiano accesso a tali risorse.
Il processo di installazione avviene in più fasi, iniziando con un dropper capace di bypassare le restrizioni di Android 13+. Questo dropper visualizza una falsa pagina di login CRM, chiedendo l’ID dipendente e richiedendo successivamente la reinstallazione dell’applicazione, che in realtà installa il payload di Chameleon, eludendo le restrizioni di AccessibilityService di Android 13+.
Una volta installato, Chameleon avvia una pagina web falsa che richiede nuovamente le credenziali dell’impiegato. Anche se l’invio delle credenziali genera un messaggio di errore, il trojan è già in esecuzione in background, raccogliendo credenziali e altre informazioni sensibili attraverso tecniche di keylogging. Questi dati possono essere utilizzati in attacchi successivi o venduti su forum underground.
Aumento dell’Attività di Chameleon
Oltre a colpire i dipendenti del settore ospitalità, Chameleon è stato osservato attaccare clienti di specifiche organizzazioni finanziarie, mascherandosi come un’app di sicurezza che installa un certificato di sicurezza rilasciato dalla banca.
Chameleon rappresenta una minaccia crescente, ora rivolta specificamente ai dipendenti di aziende B2C con accesso a conti bancari aziendali. Con l’aumento dei prodotti bancari per le imprese, in particolare per le piccole e medie aziende, è probabile che i criminali informatici continuino a esplorare questo approccio. Le organizzazioni finanziarie possono adottare misure preventive, come educare i propri clienti aziendali sui rischi del malware mobile e implementare tecnologie per rilevare la presenza di malware sui dispositivi utilizzati per accedere ai conti aziendali, proteggendo così gli asset dei clienti.
