Onderzoekers hebben Androidmalware ontdekt die op besmette telefoons de mogelijkheid uitschakelt om het toestel via een vingerafdruk te ontgrendelen, om zo de pincode van gebruikers te kunnen stelen. Bij het inschakelen van vingerafdruk-ontgrendeling moeten gebruikers vaak ook een pincode als terugvaloptie opgeven. Door de biometrische authenticatie uit te schakelen moeten gebruikers het toestel met hun pincode ontgrendelen.

De 'Chameleon' malware kan dan deze pincode stelen en het toestel op elk gewenst moment ontgrendelen. Via de malware kunnen criminelen allerlei soorten fraude plegen. Het gaat onder andere om het onderscheppen van inloggegevens, stelen van cookies en plegen van 'Device Takeover' fraude. Daarbij kan een aanvaller op afstand op het toestel inloggen om vervolgens bankfraude te plegen.

Het uitschakelen van de biometrische authenticatie heeft twee voordelen. Het maakt het mogelijk om de pincode, wachtwoord of patroon van de gebruiker te stelen. De biometrische data is namelijk niet toegankelijk voor de aanvallers. Het tweede voordeel is dat de aanvallers met de gestolen inloggegevens het toestel op elk moment op afstand kunnen ontgrendelen om fraude mee te plegen.

"Hoewel de biometrische data van het slachtoffer buiten bereik van de aanvallers blijft, dwingen ze het toestel om terug te vallen op pin-authenticatie, en kunnen zo de biometrische beveiliging volledig omzeilen", aldus securitybedrijf ThreatFabric dat de Androidmalware ontdekte. De malware heeft het volgens de onderzoekers vooral voorzien op gebruikers in Australië, Polen, het Verenigd Koninkrijk en Italië.