Chameleon Android 트로이목마, 생체인식 우회 기능 제공

안드로이드의 새로운 변종 뱅킹 트로이 수 있는 것으로 나타났다 생체 보안 우회 장치에 침입하여 현재 공격자가 더 광범위한 피해자를 대상으로 사용하고 있는 맬웨어의 진화를 보여줍니다.

여러 개의 새로운 명령을 통해 환경에 적응하는 능력으로 인해 이름이 붙여진 Chameleon 뱅킹 트로이 목마는 특히 호주와 폴란드의 사용자를 대상으로 1월에 "진행 중인" 버전으로 현장에 처음 나타났습니다. 피싱 페이지를 통해 확산된 악성코드의 행동은 호주 국세청(ATO)과 같은 기관으로 위장하고 신뢰할 수 있는 앱으로 가장하는 능력을 특징으로 합니다. 뱅킹 앱 폴란드에서는 사용자 장치에서 데이터를 훔칩니다.

이제 Threat Fabric의 연구원들은 또한 대상을 표적으로 삼는 보다 정교한 새 버전의 Chameleon을 발견했습니다. 안드로이드 사용자 영국과 이탈리아에서는 다크웹을 통해 확산됩니다. Zombinder 앱 공유 서비스 Chrome 앱으로 위장한 그들은 밝혔다 21월 XNUMX일에 게시된 블로그 게시물에서.

연구원들은 이 변종에는 대상 장치의 생체 인식 작업을 방해하는 새로운 기능을 포함하여 Android 사용자에게 이전 버전보다 훨씬 더 위험하게 만드는 몇 가지 새로운 기능이 포함되어 있다고 밝혔습니다.

생체 인식 액세스(예: 얼굴 인식 또는 지문 스캔)를 잠금 해제함으로써 공격자는 키로깅 기능을 통해 PIN, 비밀번호 또는 그래픽 키에 액세스할 수 있을 뿐만 아니라 이전에 훔친 PIN 또는 비밀번호를 사용하여 장치의 잠금을 해제할 수 있습니다. Threat Fabric의 분석에 따르면 “생체 인식 보안 조치를 효과적으로 우회하는 이 기능은 모바일 악성 코드 환경에서 우려되는 발전입니다.”라고 합니다.

또한 이 변종에는 기기 탈취 공격을 위한 Android의 접근성 서비스를 활용하는 확장된 기능과 AlarmManager API를 사용하여 작업 예약을 허용하는 다른 많은 트로이 목마에서 발견되는 기능도 포함되어 있는 것으로 연구원들은 밝혔습니다.

“이러한 향상된 기능은 새로운 Chameleon 변종의 정교함과 적응성을 높여 끊임없이 진화하는 모바일 뱅킹 트로이 목마 환경에서 더욱 강력한 위협이 됩니다.”라고 그들은 썼습니다.

카멜레온: 형태를 바꾸는 생체 인식 기능

Threat Fabric에 따르면 전반적으로 Chameleon의 세 가지 새로운 기능은 위협 행위자가 자신의 노력에 맞서기 위해 고안된 최신 보안 조치에 어떻게 대응하고 지속적으로 우회하려고 하는지 보여줍니다.

장치에서 생체 인식 보안을 비활성화하는 악성 코드의 새로운 주요 기능은 "InterruptBiometric" 메서드를 실행하는 "interrupt_biometric" 명령을 실행하여 활성화됩니다. 이 메서드는 Android의 KeyguardManager API 및 AccessibilityEvent를 사용하여 기기 화면 및 키가드 상태를 평가하고 패턴, PIN 또는 비밀번호와 같은 다양한 잠금 메커니즘 측면에서 후자의 상태를 평가합니다.

지정된 조건을 충족하면 악성코드는 이 작업을 사용하여 생체 인증 연구원들은 PIN 인증을 통해 생체 인식 프롬프트를 우회하고 트로이 목마가 마음대로 장치를 잠금 해제할 수 있도록 허용한다는 사실을 발견했습니다.

Threat Fabric에 따르면 이는 공격자에게 두 가지 이점을 제공합니다. 즉, PIN, 비밀번호 또는 그래픽 키와 같은 개인 데이터를 쉽게 훔칠 수 있도록 하고, 접근성을 활용하여 이전에 훔친 PIN 또는 비밀번호를 사용하여 생체 인식 보호 장치에 들어갈 수 있도록 허용하는 것입니다. .

게시물에 따르면 "따라서 피해자의 생체 인식 데이터는 행위자가 접근할 수 없지만 장치가 PIN 인증으로 돌아가도록 강제하여 생체 인식 보호를 완전히 우회합니다."라고 합니다.

또 다른 주요 새로운 기능은 Chameleon이 공격을 시작하기 위해 의존하는 접근성 서비스를 활성화하는 HTML 프롬프트입니다. 장치를 인수하려면. 이 기능에는 명령 및 제어(C13) 서버에서 "android_2" 명령을 수신하면 활성화되는 장치별 검사가 포함되어 있으며, 사용자에게 접근성 서비스를 활성화하라는 메시지를 표시하는 HTML 페이지를 표시한 다음 수동 단계를 안내합니다. - 단계별 프로세스.

새로운 변종의 세 번째 기능은 다른 많은 뱅킹 트로이 목마에서도 볼 수 있지만 지금까지 Chameleon에는 없었던 기능인 AlarmManager API를 사용한 작업 예약 기능을 도입합니다.

그러나 Threat Fabric에 따르면 뱅킹 트로이 목마에서 이 기능이 다른 방식으로 나타나는 것과는 달리 Chameleon의 구현은 "표준 트로이 목마 동작에 따라 접근성 및 활동 실행을 효율적으로 처리하는 동적 접근 방식"을 취합니다. 이는 접근성 활성화 여부를 결정할 수 있는 새로운 명령을 지원하고 장치의 이 기능 상태에 따라 다양한 악성 활동 간에 동적으로 전환함으로써 이를 수행합니다.

Threat Fabric에 따르면 “접근성 설정 조작 및 동적 활동 시작은 새로운 Chameleon이 정교한 Android 악성 코드 변종이라는 점을 더욱 강조합니다.”라고 합니다.

악성코드로 인해 위험에 처한 Android 기기

공격으로 급증하는 Android 기기에 맞서, 모바일 사용자에게는 그 어느 때보다 중요합니다. 다운로드 조심하세요 의심스러워 보이거나 합법적인 앱 스토어를 통해 배포되지 않는 기기의 모든 애플리케이션은 보안 전문가의 조언입니다.

연구원들은 “위협 행위자들이 계속 진화함에 따라 이러한 역동적이고 경계적인 접근 방식은 정교한 사이버 위협에 맞서 싸우는 데 필수적인 것으로 입증되었습니다.”라고 썼습니다.

Threat Fabric은 업데이트된 Zombinder와 관련된 Chameleon 샘플을 추적하고 분석했습니다. 트로이 목마를 삭제하기 위한 정교한 2단계 페이로드 프로세스입니다. 게시물에 따르면 "그들은 PackageInstaller를 통해 SESSION_API를 사용하여 Hook 악성코드 계열과 함께 카멜레온 샘플을 배포합니다."라고 합니다.

Threat Fabric은 분석 시 Chameleon과 관련된 해시, 앱 이름 및 패키지 이름 형태로 IoC(손상 표시기)를 게시하여 사용자와 관리자가 트로이 목마에 의한 잠재적인 감염을 모니터링할 수 있습니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/endpoint-security/chameleon-android-trojan-offers-biometric-bypass