카멜레온 모바일 악성코드

'Chameleon'이라고 하는 새로운 형태의 Android 트로이 목마는 2023년 초부터 호주와 폴란드 사용자를 대상으로 탐지되었습니다. 이 특정 악성코드는 호주 정부 기관인 CoinSpot 암호화폐 거래소, 그리고 IKO 은행.

사이버보안업체 싸이블에 따르면 이 모바일 악성코드의 유포는 다양한 경로를 통해 이뤄진 것으로 추정된다. 여기에는 손상된 웹사이트, 인기 있는 커뮤니케이션 플랫폼인 Discord의 첨부 파일, Bitbucket에서 제공하는 호스팅 서비스가 포함됩니다. 또한 Chameleon Android 트로이 목마는 오버레이 삽입 및 키로깅을 통한 사용자 자격 증명 탈취, 손상된 장치에서 쿠키 및 SMS 메시지 수집 등 광범위한 유해 기능을 자랑합니다.

Chameleon은 다양한 탐지 방지 검사를 수행합니다.

침해된 Android 기기에서 실행되면 Chameleon 모바일 악성코드는 보안 소프트웨어의 탐지를 피하기 위해 여러 기술을 사용합니다. 이러한 전술에는 장치가 루팅되었는지 여부와 디버깅이 활성화되었는지 확인하기 위한 안티 에뮬레이션 검사가 포함됩니다. 위협이 분석가의 환경에서 실행되고 있음을 감지하면 탐지를 피하기 위해 감염 프로세스를 완전히 중단할 수 있습니다.

환경이 안전하다고 판단되면 Chameleon은 악성 프로그래밍을 진행하고 피해자에게 접근성 서비스 사용 권한을 부여하라는 메시지를 표시합니다. 이 권한은 위협에 의해 악용되어 추가 권한을 부여하고 Google Play 프로텍트를 끄고 피해자가 트로이 목마를 제거하지 못하도록 합니다.

공격자는 Chameleon 모바일 악성코드를 통해 다양한 위협 활동을 수행할 수 있습니다.

명령 및 제어(C2) 서버와의 연결을 설정하면 Chameleon 맬웨어는 장치의 버전, 모델, 루트 상태, 국가 및 정확한 위치를 전송하여 통신을 시작합니다. 이것은 새로운 감염을 프로파일링하고 그에 따라 활동을 조정하려는 시도로 여겨집니다.

그 후 멀웨어가 사칭하는 엔터티에 따라 WebView에서 적법한 URL을 열고 백그라운드에서 악성 모듈 로드를 시작합니다. 이러한 모듈에는 쿠키 스틸러, 키로거, 피싱 페이지 인젝터, 잠금 화면 PIN/패턴 그래버 및 SMS 스틸러가 포함됩니다. 후자는 일회용 암호를 추출할 수 있으므로 공격자가 이중 인증 보호를 우회할 수 있기 때문에 특히 우려됩니다.

데이터 수집 활동을 수행하기 위해 Chameleon 맬웨어는 Accessibility Services의 남용에 의존합니다. 이를 통해 맬웨어는 화면 콘텐츠를 모니터링하고, 특정 이벤트를 감지하고, 인터페이스 요소를 수정하고, 필요에 따라 필요한 API 호출을 보낼 수 있습니다.

Chameleon 모바일 맬웨어는 감염된 장치에 지속성을 설정합니다.

데이터 수집 활동 외에도 Chameleon 맬웨어는 접근성 서비스를 활용하여 안전하지 않은 애플리케이션의 제거를 방해합니다. 피해자의 제거 시도를 모니터링하고 멀웨어와 관련된 공유 기본 설정 변수를 삭제하여 이를 수행합니다. 이렇게 하면 앱이 제거된 것처럼 보이지만 실제로는 기기에 남아 있습니다.

또한 사이버 보안 회사인 Cyble은 Chameleon에서 런타임 중에 페이로드를 다운로드하고 호스트 장치에 '.jar' 파일로 저장할 수 있는 코드를 발견했습니다. 이 파일은 나중에 DexClassLoader를 통해 실행됩니다. 그러나 이 기능은 현재 맬웨어에서 사용 중인 것으로 보이지 않습니다.