بدافزار موبایل SecuriDropper

کارشناسان امنیت سایبری از سرویس جدیدی به نام SecuriDropper رونمایی کرده‌اند که به عنوان «dDopper-as-a-a-Service» (DaaS) برای دستگاه‌های اندرویدی عمل می‌کند. SecuriDropper برای دور زدن آخرین محدودیت های امنیتی اعمال شده توسط Google طراحی شده است و بدافزار را با موفقیت در دستگاه های اندرویدی مستقر می کند.

بدافزار dropper در اندروید به عنوان وسیله ای برای تسهیل نصب نرم افزارهای تهدید کننده بر روی دستگاه های در معرض خطر عمل می کند و یک مدل تجاری سودآور برای افراد مرتبط با کلاهبرداری ایجاد می کند. این عوامل تهدید می توانند قابلیت های خود را در اختیار سایر سازمان های جنایی قرار دهند.

علاوه بر این، این رویکرد به دشمنان امکان می‌دهد تا توسعه و اجرای یک حمله را از نصب واقعی بدافزار جدا کنند. چشم انداز قطره چکان ها و افرادی که آنها را سازماندهی می کنند در یک وضعیت دائمی در نوسان است زیرا آنها با اقدامات امنیتی در حال تکامل سازگار هستند.

SecuriDropper چندین اقدام امنیتی را دور می زند

اندروید 13 گوگل یک ویژگی امنیتی به نام «تنظیمات محدود» معرفی کرده است. این ویژگی برای جلوگیری از دریافت مجوزهای Accessibility و Notification Listener که اغلب توسط تروجان های بانکی مورد سوء استفاده قرار می گیرند، توسط برنامه های جانبی طراحی شده است.

SecuriDropper طوری طراحی شده است که بدون ایجاد سوء ظن، این محافظ را دور بزند، که اغلب به عنوان برنامه های کاربردی به ظاهر بی ضرر جلوه می کند. برخی از مواردی که در طبیعت با آن مواجه می شوند عبارتند از:

com.appd.instll.load (Google)

com.appd.instll.load (Google Chrome)

چیزی که SecuriDropper را متمایز می کند، رویکرد منحصر به فرد آن به فرآیند نصب است. برخلاف پیشینیان خود، این خانواده بدافزار از یک API جایگزین Android برای نصب بار جدید استفاده می‌کند، که فرآیندی را که بازارهای برنامه‌های کاربردی قانونی برای نصب برنامه‌های جدید به کار می‌گیرند، منعکس می‌کند. این شامل درخواست مجوز برای خواندن و نوشتن داده ها در حافظه خارجی (READ_EXTERNAL_STORAGE و WRITE_EXTERNAL_STORAGE) و نصب و حذف بسته ها (REQUEST_INSTALL_PACKAGES و DELETE_PACKAGES) است.

در مرحله دوم حمله، از قربانیان خواسته می‌شود تا روی دکمه «نصب مجدد» در برنامه کلیک کنند تا خطای نصب شده را برطرف کنند و نصب بار مخرب را تسهیل کند.

محققان توزیع تروجان های بانکی اندروید مانند SpyNote و ERMAC را از طریق SecuriDropper در وب سایت های فریبنده و پلتفرم های شخص ثالث مانند Discord مشاهده کرده اند.

مجرمان سایبری در حال توسعه ابزارهای تهدیدکننده خود هستند

سرویس قطره چکانی دیگری که به نام Zombinder شناخته می شود، فاش شده است که یک دور زدن برای ویژگی تنظیمات محدود ارائه می دهد. Zombinder یک ابزار اتصال APK است که گمان می‌رود اوایل امسال بسته شده است. هنوز مشخص نیست که آیا ارتباطی بین این دو ابزار وجود دارد یا خیر.

از آنجایی که اندروید با هر نسخه جدید به تنظیم استانداردهای امنیتی بالاتر ادامه می دهد، مجرمان سایبری به همان اندازه سریع تنظیم می شوند و راه حل های جدیدی پیدا می کنند. پلتفرم‌های Dropper-as-a-Service (DaaS) به عنوان ابزار قدرتمندی مطرح شده‌اند و افراد مرتبط با کلاهبرداری را قادر می‌سازد تا به دستگاه‌ها نفوذ کرده و نرم‌افزارهای جاسوسی و تروجان‌های بانکی را توزیع کنند.