Aktiv që nga fillimi i vitit 2023, malware-i Chameleon fillimisht synonte aplikacionet banking në Australi dhe Poloni, por që atëherë ka zgjeruar shtrirjen e tij në Mbretërinë e Bashkuar dhe Itali.
Kur u zbulua fillimisht, shpjegon ThreatFabric, Chameleon përdorte shumë regjistra, kishte funksione të kufizuara keqdashëse dhe përmbante komanda të ndryshme të papërdorura, duke sugjeruar se ishte ende në zhvillim e sipër. Duke përdorur një shërbim proxy dhe duke abuzuar me Accessibility Services, ai mund të kryejë veprime në emër të viktimës, duke i lejuar sulmuesit të përfshihen në sulmet e Account Takeover (ATO) dhe Device Takeover (DTO), duke synuar kryesisht aplikacionet bankare dhe të kriptomonedhave.
Malware po shpërndahej përmes faqeve të phishing, duke u paraqitur si aplikacione legjitime dhe duke përdorur një rrjet legjitim të shpërndarjes së përmbajtjes (CDN) për shpërndarjen e skedarëve. ThreatFabric identifikoi së fundmi një variant të përditësuar të Chameleon, i cili tregon të njëjtat karakteristika ndërkohë që vjen dhe me veçori të reja të përparuara.
Mostrat e reja po shpërndahen përmes Zombinder, një dropper-as-a-service (DaaS) që përdoret në sulmet që synojnë përdoruesit e Android. Një nga aftësitë më të rëndësishme në versionin e ri Chameleon është një kontroll specifik për pajisjen që aktivizohet kur merr një komandë comand-and-control server (C&C), i cili synon mbrojtjen e “Restricted Settings” të prezantuara në Android 13.
Pas marrjes së komandës, Trojani shfaq një faqe HTML që i kërkon viktimës të aktivizojë shërbimin e Accessibility. Faqja e udhëzon viktimën përmes një procesi manual hap pas hapi të aktivizimit të shërbimit, i cili më pas lejon malware të hyjë në punë.
Për më tepër, varianti i ri i Kameleonit përmban një veçori të re për të ndaluar operacionet biometrike në pajisjen e viktimës, e aktivizuar gjithashtu nëpërmjet një komande specifike. Me marrjen e komandës, malware vlerëson statusin e ekranit dhe tastierës së pajisjes dhe “shfrytëzon veprimin AccessibilityEvent për të kaluar nga vërtetimi biometrik në vërtetimin PIN“, duke anashkaluar kështu kërkesën biometrike.