Un nouveau malware bancaire sévit sur Android

Des chercheurs de l'entreprise de cybersécurité Cyble ont découvert un nouveau malware bancaire sur Android. Baptisé Chameleon, il se fait passer pour l'applicationapplication de cryptomonnaies CoinSpot, un organisme gouvernemental australien ou encore une banque polonaise.

Le malwaremalware peut enregistrer les saisies au clavier (keylogger), se superposer aux autres applications (overlay attack), voler les cookiescookies, et enregistrer le code de l'écran de verrouillage. Il peut même lire les SMSSMS afin de récupérer les codes à usage unique pour l'authentification à deux facteursauthentification à deux facteurs. Toutes les données obtenues sont envoyées à un serveurserveur de commande et de contrôle (C&C).

Un malware qui exploite les services d’accessibilité d’Android  

Chameleon est actif depuis au moins janvier 2023, et trompe les utilisateurs avec l'icône d'applications connues, comme Google Chrome, Bitcoin ou encore ChatGPTChatGPT. Il intègre également plusieurs défenses. Au lancement, il vérifie si le système est une émulationémulation plutôt qu'un appareil Android réel, auquel cas il se désactive afin de ne pas être détecté par les spécialistes de la cybersécurité. Dans le cas contraire, il détourne les services d'accessibilité de l'appareil pour s'octroyer les autorisations nécessaires, désactiver GoogleGoogle Play Protect, et bloque sa propre désinstallation.

La bonne nouvelle est que ce malware n'est pas (encore ?) sur le Play StoreStore de Google, et donc ne devrait pas pouvoir infecter ceux qui n'ont pas activé l'installation d'applications depuis des sources inconnues. Il a été distribué à travers des sites Web compromis, des pièces jointes sur Discord ou encore hébergé sur Bitbucket. Toutefois, les chercheurs soulignent que Chameleon n'en est qu'à ses débuts. Le malware aurait le potentiel pour évoluer encore et représenter une menace sérieuse.