Ce malware Android désactive le lecteur d'empreinte digitale pour voler le code de déverrouillage

Pas de trêve des confiseurs pour les malwares sur Android ! Un petit nouveau s’est récemment signalé sur les radars : baptisé fort à propos Chameleon, il désactive la fonction de reconnaissance de l’empreinte digitale, obligeant l’utilisateur à saisir le code de déverrouillage… que le malware peut ensuite subtiliser.

Le malware Chameleon circule actuellement sous la forme d’une (fausse) app Chrome visant les utilisateurs Android au Royaume-Uni et en Italie principalement, d’après la découverte des chercheurs en sécurité de ThreatFabric. Cette variante d’un logiciel malveillant repéré en début d’année en reprend le mode opératoire : c’est un cheval de Troie doté de capacité de prise de contrôle de l’appareil.

Un malware qui s’adapte aux mesures de sécurité

Au bout du compte, il s’agit de subtiliser les informations financières de sa victime, puisqu’une fois installé, le malware prend la forme d’une application singeant l’interface des apps bancaires officielles. Cette nouvelle mouture de Chameleon comprend deux fonctions originales. La première est de pousser l’utilisateur à activer des réglages d’accessibilité. Chameleon affiche une page HTML décrivant comment activer ces options sur les smartphones fonctionnant sous Android 13 et au-delà. Une étape cruciale, le logiciel ayant besoin que ces services soient activés pour s’emparer de l’appareil.

ThreatFabric est presque admiratif du travail accompli par les pirates : « Cette nouvelle fonctionnalité démontre une fois de plus comment les acteurs malveillants réagissent aux dernières mesures de sécurité conçues pour contrecarrer leurs efforts et [comment ils] cherchent continuellement à les contourner ».

La deuxième fonction est plus étonnante encore. Elle consiste à désactiver la lecture de l’empreinte digitale ; pour pouvoir se service de son smartphone, l’utilisateur doit alors saisir son code de déverrouillage. Cela permet au pirate de siphonner le fameux code grâce à un keylogger, qui enregistre les frappes effectuées sur le clavier virtuel.

Une fois en possession de cette information, les hackers peuvent déverrouiller l’appareil quand ils le souhaitent. Cette nouveauté est qualifiée d’inquiétante par les chercheurs de sécurité, car elle pourrait s’étendre à d’autres malwares.