Le trojan Chameleon sévit de nouveau sur les smartphones Android. Mais cette fois, il est plus redoutable que jamais, puisqu’il use d’une nouvelle technique de contournement. Grâce à elle, il est à même de désactiver l’option de déverrouillage par empreinte digitale et de dérober le code PIN des victimes.
Malgré les protections mises en place par les éditeurs d’antivirus et la vigilance des utilisateurs, certaines applications malveillantes parviennent à passer entre les mailles du filet. C’est le cas notamment de la nouvelle version Chameleon, un redoutable trojan déjà repéré en en avril 2023. À l’époque, le malware faisait déjà office de keylogger, était capable de dérober vos SMS ou pouvait s’en prendre à vos cookies.
Aujourd’hui, la nouvelle version de Chameleon va encore plus loin : elle peut contourner le déverrouillage par empreinte digitale sur les smartphones Android, et récupérer le code PIN des utilisateurs. Et le pire, c’est qu’aucune solution de protection n’est capable de la bloquer, du moins pour le moment. Une explication de son fonctionnement s’impose.
COMMENT LE MALWARE CHAMELEON PARVIENT TRÈS FACILEMENT À SE PROTÉGER
Chameleon est issu de Zombinder, une plateforme du darknet qui diffuse des malwares en les faisant passer pour des applications Android légitimes. Cette plateforme utilise généralement une technique assez rudimentaire, mais diablement efficace : elle simule un point Wi-Fi en libre accès. Dans le cas de Chameleon, Zombinder diffuse une fausse version du navigateur Chrome, pleinement fonctionnelle et qui paraît pourtant bien légitime aux yeux du système et de ses protections.
Mais pour fonctionner pleinement, Chameleon a besoin des droits d’accessibilité d’Android. Or, depuis Android 13, ces droits sont bloqués par défaut. Un petit tutoriel en HTML a donc été mis en place par les auteurs de Chameleon à destination de l’utilisateur, lui indiquant la marche à suivre pour lui accorder les droits nécessaires. Alors oui, il est nécessaire que le possesseur du smartphone intervienne. Mais la victime, pensant utiliser une version légitime de Chrome, tombe facilement dans le panneau.
UN TROJAN INDÉTECTABLE QUI PEUT DÉSACTIVER TOUTES LES PROTECTIONS BIOMÉTRIQUES
Dès lors, le trojan peut opérer en toute tranquillité. Dans sa nouvelle version et grâce aux droits accordés sur les services d’accessibilité, le malware désactive les protections de déverrouillage du smartphone, que ce soit par empreinte digitale ou par reconnaissance faciale. L’utilisateur n’a alors d’autre choix que de se tourner du côté de l’authentification par code PIN ou par mot de passe. Chameleon enregistre alors à la volée les actions entreprises sur le smartphone (rappelez-vous, c’est un excellent keylogger). Et comme il s’agit initialement d’un malware bancaire, il se fera une joie de récupérer les coordonnées de l’utilisateur pour accéder à son compte en banque.
L’installation du malware est indétectable en temps réel. Que ce soit par un antivirus ou même par la solution Google Protect, Chameleon passe totalement inaperçu. Quelques conseils : pour vous prémunir de ce genre d’application malveillante, évitez à tout prix d’installer le moindre APK provenant d’une plateforme douteuse, comme Zombinder. Enfin, n’hésitez pas à lancer régulièrement une analyse de votre smartphone via les outils d’analyse de Google ou ceux d’une solution de sécurité tierce, si vous en possédez une.
Source : ThreatFabric
