“Chameleon”（變色龍）Android銀行木馬再次出現了一個新版本，它使用一種狡猾的技術來控制設備–禁用指紋和臉部解鎖來竊取設備密碼。它透過使用HTML 頁面技巧來獲取對輔助功能服務的存取權限，並使用破壞生物識別操作的方法來竊取PIN 碼並隨意解鎖設備。

今年4 月發現的Chameleon 早期版本曾假冒澳洲政府機構、銀行和CoinSpot 加密貨幣交易所，在被入侵設備上執行鍵盤記錄、覆蓋注入、Cookie 竊取和簡訊竊取等操作。

ThreatFabric 的研究人員一直在追蹤該惡意軟體，他們報告說，該惡意軟體目前是透過Zombinder 服務冒充Google Chrome 瀏覽器發布的。

Zombinder將惡意軟體”貼上”到合法的Android應用程式上，這樣受害者就可以享受他們打算安裝的應用程式的全部功能，從而不太可能懷疑後台運行的是危險代碼。

該平台聲稱，其惡意捆綁程序在運行時無法被檢測到，可以繞過Google保護警報，躲避受感染設備上運行的任何防毒產品。

攜帶”Chameleon”的apk冒充Google瀏覽器（ThreatFabric）

“Chameleon”最新變種的第一個新功能是在運行Android 13 及更高版本的裝置上顯示HTML 頁面，提示受害者允許應用程式使用輔助功能服務。

Android13及更高版本受一種名為”受限設定”的安全功能保護，該功能可阻止批准輔助功能等危險權限，惡意軟體可利用這些權限竊取螢幕內容、授予自身額外權限和執行導航手勢。

當Chameleon 偵測到Android 13 或14 啟動時，它會載入一個HTML 頁面，引導使用者透過手動程式為應用程式啟用輔助功能，從而繞過系統的保護。

變色龍的HTML 頁面提示（ThreatFabric）

第二個值得注意的新”功能”是，透過使用輔助功能服務強制退回到PIN 或密碼驗證，從而中斷設備上的生物識別操作，如指紋和臉部解鎖。

惡意軟體會捕獲受害者為解鎖設備而輸入的任何PIN 碼和密碼，然後利用它們隨意解鎖設備，執行隱藏在視線之外的惡意活動。

破壞Android系統生物​​辨識服務的Java 程式碼片段（ThreatFabric）

最後，ThreatFabric 報告稱，Chameleon 透過AlarmManager API 增加了任務調度功能，以管理活動時間和定義活動類型。根據可訪問性是啟用還是停用，惡意軟體會適應發動覆蓋攻擊或執行應用程式使用資料收集，以決定最佳的注入時機。

ThreatFabric警告說：”這些增強功能提高了新變色龍變種的複雜性和適應性，使其在不斷變化的移動銀行木馬中成為更強大的威脅。”

若要防止Chameleon 威脅，應避免從非官方來源取得APK（Android軟體套件檔案），因為這是Zombinder 服務的主要傳播方式。

此外，請確保始終啟用Play Protect，並定期進行掃描，以確保您的裝置沒有惡意軟體和廣告軟體。