SecuriDropper mobilā ļaunprogrammatūra

Kiberdrošības eksperti ir atklājuši jaunu pakalpojumu ar nosaukumu SecuriDropper, kas Android ierīcēm darbojas kā "dDopper-as-a-Service" (DaaS). SecuriDropper ir izstrādāts, lai apietu jaunākos drošības ierobežojumus, ko ieviesis Google, un veiksmīgi izvieto ļaunprātīgu programmatūru Android ierīcēs.

Pilinātāja ļaunprogrammatūra operētājsistēmā Android kalpo kā līdzeklis, lai atvieglotu draudošas programmatūras instalēšanu uzlauztās ierīcēs, radot ienesīgu biznesa modeli ar krāpšanu saistītām personām. Šie apdraudējuma dalībnieki var pārdot savas spējas citām noziedzīgām organizācijām.

Turklāt šī pieeja ļauj pretiniekiem nodalīt uzbrukuma izstrādi un izpildi no ļaunprogrammatūras faktiskās instalēšanas. Pilinātāju ainava un indivīdi, kas tos organizē, pastāvīgi mainās, jo tie pielāgojas pretējas attīstības drošības pasākumiem.

SecuriDropper apiet vairākus drošības pasākumus

Google operētājsistēmā Android 13 ir ieviesta drošības funkcija, kas pazīstama kā "Ierobežotie iestatījumi". Šis līdzeklis ir paredzēts, lai neļautu blakus ielādētām lietojumprogrammām iegūt pieejamības un paziņojumu uztvērēja atļaujas, kuras bieži izmanto banku Trojas zirgi.

SecuriDropper ir izstrādāts, lai apietu šo aizsardzības līdzekli, neradot aizdomas, bieži maskējoties kā šķietami nekaitīgas lietojumprogrammas. Daži no gadījumiem, kas sastopami savvaļā, ietver:

com.appd.instll.load (Google)

com.appd.instll.load (Google Chrome)

SecuriDropper atšķiras ar tās unikālo pieeju instalēšanas procesam. Atšķirībā no saviem priekšgājējiem, šī ļaundabīgo programmu saime izmanto alternatīvu Android API, lai instalētu jauno lietderīgo slodzi, atspoguļojot procesu, ko izmanto likumīgi lietojumprogrammu tirgi jaunu lietojumprogrammu instalēšanai. Tas ietver atļauju pieprasīšanu, lai lasītu un rakstītu datus ārējā krātuvē (READ_EXTERNAL_STORAGE un WRITE_EXTERNAL_STORAGE) un instalētu un dzēstu pakotnes (REQUEST_INSTALL_PACKAGES un DELETE_PACKAGES).

Otrajā uzbrukuma posmā upuriem tiek piedāvāts noklikšķināt uz pogas "Pārinstalēt" lietotnē, lai novērstu iespējamo instalēšanas kļūdu, atvieglojot ļaunprātīgas slodzes instalēšanu.

Pētnieki ir novērojuši Android banku Trojas zirgu, piemēram, SpyNote un ERMAC , izplatīšanu, izmantojot SecuriDropper maldinošās vietnēs un trešo pušu platformās, piemēram, Discord.

Kibernoziedznieki attīsta savus draudošos rīkus

Ir atklāts vēl viens pilinātāja pakalpojums, kas pazīstams kā Zombinder, piedāvājot ierobežoto iestatījumu funkcijas apiešanu. Zombinder ir APK saistīšanas rīks, kas, domājams, tika slēgts šā gada sākumā. Joprojām nav skaidrs, vai starp šiem diviem instrumentiem ir kāda saikne.

Tā kā Android ar katru jaunu versiju turpina noteikt augstākus drošības standartus, kibernoziedznieki vienlīdz ātri pielāgojas un atrod jaunus risinājumus. Dropper-as-a-Service (DaaS) platformas ir kļuvušas par spēcīgiem instrumentiem, kas ļauj ar krāpšanu saistītām personām uzlauzt ierīces un izplatīt spiegprogrammatūru un banku Trojas zirgus.