Мобильное вредоносное ПО SecuriDropper

Эксперты по кибербезопасности представили новый сервис под названием SecuriDropper, который работает как «dDopper-as-a-Service» (DaaS) для устройств Android. SecuriDropper предназначен для обхода последних ограничений безопасности, введенных Google, и успешно развертывает вредоносное ПО на устройствах Android.

Вредоносное ПО-дроппер на Android служит средством, облегчающим установку угрожающего программного обеспечения на взломанные устройства, создавая прибыльную бизнес-модель для лиц, связанных с мошенничеством. Эти субъекты угроз могут продавать свои возможности другим преступным организациям.

Более того, этот подход позволяет злоумышленникам отделить разработку и выполнение атаки от фактической установки вредоносного ПО. Ландшафт дроперов и лиц, их организующих, находится в постоянном изменении, поскольку они адаптируются к контрразвивающимся мерам безопасности.

SecuriDropper обходит некоторые меры безопасности

В Android 13 от Google появилась функция безопасности, известная как «Ограниченные настройки». Эта функция предназначена для предотвращения получения неопубликованными приложениями разрешений Accessibility и Notification Listener, которые часто используются банковскими троянами.

SecuriDropper был разработан для обхода этой защиты, не вызывая подозрений, часто маскируясь под, казалось бы, безобидные приложения. Некоторые из экземпляров, встречающихся в дикой природе, включают:

com.appd.instll.load (Google)

com.appd.instll.load (Google Chrome)

Что отличает SecuriDropper, так это уникальный подход к процессу установки. В отличие от своих предшественников, это семейство вредоносных программ использует альтернативный Android API для установки новой полезной нагрузки, повторяя процесс, используемый законными рынками приложений для установки новых приложений. Это включает в себя запрос разрешений на чтение и запись данных во внешнее хранилище (READ_EXTERNAL_STORAGE и WRITE_EXTERNAL_STORAGE), а также на установку и удаление пакетов (REQUEST_INSTALL_PACKAGES и DELETE_PACKAGES).

На втором этапе атаки жертвам предлагается нажать кнопку «Переустановить» в приложении, чтобы устранить предполагаемую ошибку установки, что облегчает установку вредоносной полезной нагрузки.

Исследователи наблюдали распространение банковских троянов для Android, таких как SpyNote и ERMAC, через SecuriDropper на мошеннических веб-сайтах и сторонних платформах, таких как Discord.

Киберпреступники совершенствуют свои инструменты угроз

Обнаружился еще один сервис-дроппер, известный как Zombinder, предлагающий обход функции «Ограниченные настройки». Zombinder — это инструмент привязки APK, который, как предполагалось, был закрыт в начале этого года. Остается неясным, существует ли какая-либо связь между этими двумя инструментами.

Поскольку Android продолжает устанавливать более высокие стандарты безопасности с каждой новой версией, киберпреступники одинаково быстро адаптируются и находят новые решения. Платформы Dropper-as-a-Service (DaaS) стали мощным инструментом, позволяющим лицам, связанным с мошенничеством, взламывать устройства и распространять шпионское ПО и банковские трояны.