Złośliwe oprogramowanie mobilne SecuriDropper
Eksperci ds. cyberbezpieczeństwa zaprezentowali nowatorską usługę o nazwie SecuriDropper, która działa jako „dDopper-as-a-Service” (DaaS) dla urządzeń z systemem Android. SecuriDropper ma na celu ominięcie najnowszych ograniczeń bezpieczeństwa wprowadzonych przez Google i skutecznie wdraża złośliwe oprogramowanie na urządzeniach z Androidem.
Złośliwe oprogramowanie dropper na Androida ułatwia instalację groźnego oprogramowania na zaatakowanych urządzeniach, tworząc zyskowny model biznesowy dla osób dotkniętych oszustwami. Ci ugrupowania zagrażające mogą sprzedawać swoje możliwości innym organizacjom przestępczym.
Co więcej, takie podejście umożliwia przeciwnikom oddzielenie opracowania i przeprowadzenia ataku od faktycznej instalacji złośliwego oprogramowania. Krajobraz dropperów i osób je organizujących podlega ciągłym zmianom w miarę dostosowywania się do kontrewoluujących środków bezpieczeństwa.
SecuriDropper omija kilka środków bezpieczeństwa
W systemie Android 13 firmy Google wprowadzono funkcję zabezpieczeń znaną jako „Ustawienia z ograniczeniami”. Ta funkcja ma na celu zapobieganie uzyskiwaniu przez aplikacje ładowane z boku uprawnień do dostępności i odbiornika powiadomień, które są często wykorzystywane przez trojany bankowe.
SecuriDropper został zaprojektowany tak, aby ominąć to zabezpieczenie bez wzbudzania podejrzeń, często udając pozornie nieszkodliwe aplikacje. Niektóre z przypadków spotykanych na wolności obejmują:
com.appd.instll.load (Google)
com.appd.instll.load (Google Chrome)
Tym, co wyróżnia SecuriDropper, jest unikalne podejście do procesu instalacji. W przeciwieństwie do swoich poprzedników, ta rodzina szkodliwego oprogramowania wykorzystuje alternatywny interfejs API systemu Android do instalowania nowego ładunku, odzwierciedlając proces stosowany w legalnych sklepach z aplikacjami w przypadku instalacji nowych aplikacji. Obejmuje to żądanie uprawnień do odczytu i zapisu danych w pamięci zewnętrznej (READ_EXTERNAL_STORAGE i WRITE_EXTERNAL_STORAGE) oraz do instalowania i usuwania pakietów (REQUEST_INSTALL_PACKAGES i DELETE_PACKAGES).
Na drugim etapie ataku ofiary są proszone o kliknięcie przycisku „Zainstaluj ponownie” w aplikacji, aby zaradzić rzekomemu błędowi instalacji i ułatwić instalację szkodliwego ładunku.
Badacze zaobserwowali dystrybucję trojanów bankowych dla systemu Android, takich jak SpyNote i ERMAC , za pośrednictwem SecuriDropper na zwodniczych witrynach internetowych i platformach stron trzecich, takich jak Discord.
Cyberprzestępcy rozwijają swoje groźne narzędzia
Wyszła na jaw kolejna usługa droppera, znana jako Zombinder, oferująca obejście funkcji Ograniczone ustawienia. Zombinder to narzędzie do wiązania plików APK, które prawdopodobnie zostało wyłączone na początku tego roku. Nie ma pewności, czy istnieje jakiekolwiek powiązanie między tymi dwoma narzędziami.
Ponieważ Android z każdą nową wersją stale wyznacza wyższe standardy bezpieczeństwa, cyberprzestępcy równie szybko dostosowują się i znajdują nowe rozwiązania. Platformy Dropper-as-a-Service (DaaS) stały się potężnymi instrumentami umożliwiającymi osobom fizycznym włamywanie się do urządzeń oraz dystrybucję oprogramowania szpiegującego i trojanów bankowych.
