새로운 버전의 카멜레온 안드로이드 은행 트로이 목마가 등장했습니다. 이 트로이 목마는 HTML 페이지 기법을 사용하여 접근성 서비스에 접근하고, 생체 인식 작업을 방해하여 기기 PIN을 훔치고 임의로 기기를 잠금 해제합니다. 이전 버전의 카멜레온은 호주 정부 기관, 은행, 그리고 CoinSpot 암호화폐 거래소를 가장하였으며, 키로깅, 오버레이 주입, 쿠키 도난, SMS 도난 등을 수행하였습니다. 현재 이 트로이 목마는 Zombinder 서비스를 통해 Google Chrome으로 위장하여 배포되고 있습니다.
Zombinder는 합법적인 안드로이드 앱에 악성 코드를 "접착해" 사용자가 원래 설치하려던 앱의 모든 기능을 즐길 수 있게 하여, 위험한 코드가 백그라운드에서 실행되고 있다는 의심을 줄입니다. 이 플랫폼은 실행 시간에 악성 번들이 감지되지 않으며, Google Protect 경고를 우회하고 감염된 기기에서 실행되는 모든 안티바이러스 제품을 회피한다고 주장합니다.
최신 카멜레온 변종에서 처음으로 볼 수 있는 새로운 기능은 안드로이드 13 이상을 실행하는 기기에 HTML 페이지를 표시하고, 사용자에게 앱이 접근성 서비스를 사용할 수 있는 권한을 부여하도록 요청하는 것입니다. 카멜레온은 안드로이드 13 또는 14를 감지하면, 시스템 보호를 우회하여 앱에 대한 접근성을 활성화하기 위한 수동 과정을 안내하는 HTML 페이지를 로드합니다.
또 다른 새로운 기능은 생체 인식 기능(지문 또는 얼굴 인식) 대신 PIN 또는 비밀번호를 요구하는 접근성 서비스를 사용하여 보안을 강화하는 것입니다. 멀웨어가 이를 이용하여 사용자의 PIN이나 비밀번호를 캡처하여 장치를 잠금 해제하고 악의적인 활동을 숨길 수 있다는 점에 유의해야 합니다.
카멜레온 위협을 막기 위해서는 Zombinder 서비스의 기본 배포 방법인 비공식 소스에서 APK를 다운로드하지 않고 Play Protect를 항상 활성화하고 정기적으로 검사를 실행하여 악성 프로그램의 존재 여부를 확인해야 합니다.
요약
- 새로운 버전의 카멜레온 안드로이드 은행 트로이 목마가 등장, HTML 페이지 기법을 사용하여 접근성 서비스에 접근하고, 생체 인식 작업을 방해하여 기기 PIN을 훔친다.
- 이 트로이 목마는 현재 Zombinder 서비스를 통해 Google Chrome으로 위장하여 배포되고 있다.
- 최신 카멜레온 변종에서 처음으로 볼 수 있는 새로운 기능은 안드로이드 13 이상을 실행하는 기기에 HTML 페이지를 표시하고, 사용자에게 앱이 접근성 서비스를 사용할 수 있는 권한을 부여하도록 요청하는 것이다.
- 또 다른 새로운 기능은 생채 인식 기능 대신 PIN 또는 비밀번호를 요구하여 이를 캡처하여 장치를 잠금 해제하고 악의적인 활동을 숨길 수 있다는 것이다.
- 이러한 위협을 막기 위해서는 비공식 소스에서 APK를 다운로드하지 않고 Play Protect를 항상 활성화하고 정기적으로 검사를 실행하여 악성 프로그램을 확인해야 한다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.