SecuriDropper Mobile Malware

A kiberbiztonsági szakértők bemutatták a SecuriDropper nevű újszerű szolgáltatást, amely „dDopper-as-a-Service” (DaaS) néven működik Android-eszközökön. A SecuriDropper célja, hogy megkerülje a Google által bevezetett legújabb biztonsági korlátozásokat, és sikeresen telepítse a rosszindulatú programokat Android-eszközökön.

Az Androidon található dropper malware eszközként szolgál a fenyegető szoftverek telepítésének megkönnyítésére a feltört eszközökön, így nyereséges üzleti modellt hozva létre a csalással kapcsolatos egyének számára. Ezek a fenyegető szereplők értékesíthetik képességeiket más bűnszervezeteknek.

Ezenkívül ez a megközelítés lehetővé teszi az ellenfelek számára, hogy elkülönítsék a támadás kifejlesztését és végrehajtását a rosszindulatú program tényleges telepítésétől. A csepegtetők és az őket irányító egyének tája állandó változásban van, ahogy alkalmazkodnak az ellentmondóan fejlődő biztonsági intézkedésekhez.

A SecuriDropper számos biztonsági intézkedést megkerül

A Google Android 13 rendszere bevezette a „Korlátozott beállítások” néven ismert biztonsági funkciót. Ezt a funkciót arra tervezték, hogy megakadályozza, hogy a mellékelt alkalmazások hozzáférési és értesítésfigyelő engedélyeket szerezzenek, amelyeket a banki trójaiak gyakran kihasználnak.

A SecuriDroppert úgy tervezték, hogy megkerülje ezt a biztosítékot anélkül, hogy gyanakvást kelt volna, gyakran ártalmatlannak tűnő alkalmazásoknak álcázva. A vadonban előforduló esetek közül néhány:

com.appd.instll.load (Google)

com.appd.instll.load (Google Chrome)

A SecuriDroppert a telepítési folyamat egyedi megközelítése különbözteti meg egymástól. Elődjeivel ellentétben ez a rosszindulatú programcsalád egy alternatív Android API-t alkalmaz az új hasznos terhelés telepítéséhez, tükrözve azt a folyamatot, amelyet a legitim alkalmazáspiacok az új alkalmazások telepítéséhez alkalmaznak. Ez magában foglalja az adatok külső tárolóra (READ_EXTERNAL_STORAGE és WRITE_EXTERNAL_STORAGE) való olvasására és írására vonatkozó engedélyek kérését, valamint a csomagok telepítését és törlését (REQUEST_INSTALL_PACKAGES és DELETE_PACKAGES).

A támadás második szakaszában az áldozatoknak rá kell kattintaniuk az „Újratelepítés” gombra az alkalmazáson belül egy állítólagos telepítési hiba kijavításához, ami megkönnyíti a rosszindulatú rakomány telepítését.

A kutatók megfigyelték az Android banki trójai programok, például a SpyNote és az ERMAC terjesztését a SecuriDropperen keresztül megtévesztő webhelyeken és harmadik felek platformjain, például a Discordon.

A kiberbűnözők fejlesztik fenyegető eszközeiket

Egy újabb dropper szolgáltatás, a Zombinder néven látott napvilágot, amely a Korlátozott beállítások funkció megkerülését kínálja. A Zombinder egy APK-kötési eszköz, amelyről azt hitték, hogy az év elején leállították. Továbbra is bizonytalan, hogy van-e kapcsolat e két eszköz között.

Mivel az Android minden új kiadással továbbra is magasabb biztonsági szabványokat állít fel, a kiberbűnözők ugyanolyan gyorsan alkalmazkodnak, és új megoldásokat találnak. A Dropper-as-a-Service (DaaS) platformok hatékony eszközökké váltak, lehetővé téve a csalással kapcsolatos egyének számára, hogy feltörjék az eszközöket, és kémprogramokat és banki trójaiakat terjeszthessenek.