Malware celular SecuriDropper

Ekspertët e sigurisë kibernetike kanë zbuluar një shërbim të ri të quajtur SecuriDropper, i cili funksionon si një 'dDopper-as-a-Service' (DaaS) për pajisjet Android. SecuriDropper është krijuar për të anashkaluar kufizimet më të fundit të sigurisë të zbatuara nga Google dhe vendos me sukses malware në pajisjet Android.

Një malware me pika në Android shërben si një mjet për të lehtësuar instalimin e softuerit kërcënues në pajisjet e komprometuara, duke krijuar një model biznesi fitimprurës për individët e lidhur me mashtrimin. Këta aktorë kërcënimi mund t'i tregtojnë aftësitë e tyre te organizatat e tjera kriminale.

Për më tepër, kjo qasje u mundëson kundërshtarëve të ndajnë zhvillimin dhe ekzekutimin e një sulmi nga instalimi aktual i malware. Peizazhi i pikatores dhe i individëve që i orkestrojnë ato është në një gjendje të vazhdueshme fluksi ndërsa përshtaten me masat e sigurisë kundër-evolucionare.

SecuriDropper anashkalon disa masa sigurie

Android 13 i Google ka prezantuar një veçori sigurie të njohur si "Cilësimet e kufizuara". Kjo veçori është krijuar për të parandaluar që aplikacionet e ngarkuara anësore të marrin lejet e dëgjuesit të aksesueshmërisë dhe njoftimeve, të cilat shpesh shfrytëzohen nga trojanët bankar.

SecuriDropper është krijuar për të anashkaluar këtë mbrojtje pa ngjallur dyshime, shpesh duke u maskuar si aplikacione në dukje të padëmshme. Disa nga rastet që hasen në natyrë përfshijnë:

com.appd.instll.load (Google)

com.appd.instll.load (Google Chrome)

Ajo që e veçon SecuriDropper është qasja e tij unike ndaj procesit të instalimit. Ndryshe nga paraardhësit e tij, kjo familje malware përdor një API alternative Android për të instaluar ngarkesën e re, duke pasqyruar procesin e përdorur nga tregjet legjitime të aplikacioneve për instalimet e aplikacioneve të reja. Kjo përfshin kërkimin e lejeve për të lexuar dhe shkruar të dhëna në hapësirën ruajtëse të jashtme (READ_EXTERNAL_STORAGE dhe WRITE_EXTERNAL_STORAGE) dhe për të instaluar dhe fshirë paketat (REQUEST_INSTALL_PACKAGES dhe DELETE_PACKAGES).

Në fazën e dytë të sulmit, viktimave u kërkohet të klikojnë në një buton "Rinstalo" brenda aplikacionit për të adresuar një gabim të supozuar të instalimit, duke lehtësuar instalimin e ngarkesës me qëllim të keq.

Studiuesit kanë vëzhguar shpërndarjen e trojanëve bankar Android si SpyNote dhe ERMAC përmes SecuriDropper në faqet e internetit mashtruese dhe platformat e palëve të treta si Discord.

Kriminelët kibernetikë po zhvillojnë mjetet e tyre kërcënuese

Një tjetër shërbim pikatore, i njohur si Zombinder, ka dalë në dritë, duke ofruar një anashkalim për veçorinë e cilësimeve të kufizuara. Zombinder është një mjet lidhës APK që besohej se ishte mbyllur në fillim të këtij viti. Mbetet e pasigurt nëse ka ndonjë lidhje midis këtyre dy mjeteve.

Ndërsa Android vazhdon të vendosë standarde më të larta sigurie me çdo version të ri, kriminelët kibernetikë janë po aq të shpejtë për t'u përshtatur dhe për të gjetur zgjidhje të reja. Platformat Dropper-as-a-Service (DaaS) janë ngritur si instrumente të fuqishme, duke u mundësuar individëve të lidhur me mashtrimin të shkelin pajisjet dhe të shpërndajnë spyware dhe trojan bankar.