Phần mềm độc hại di động SecuriDropper

Các chuyên gia an ninh mạng đã tiết lộ một dịch vụ mới có tên SecuriDropper, hoạt động dưới dạng 'dDopper-as-a-Service' (DaaS) cho các thiết bị Android. SecuriDropper được thiết kế để vượt qua các hạn chế bảo mật mới nhất do Google triển khai và triển khai thành công phần mềm độc hại trên thiết bị Android.

Phần mềm độc hại nhỏ giọt trên Android đóng vai trò như một phương tiện tạo điều kiện thuận lợi cho việc cài đặt phần mềm đe dọa trên các thiết bị bị xâm nhập, tạo ra mô hình kinh doanh sinh lời cho các cá nhân liên quan đến lừa đảo. Những tác nhân đe dọa này có thể tiếp thị khả năng của mình cho các tổ chức tội phạm khác.

Hơn nữa, cách tiếp cận này cho phép kẻ thù tách biệt việc phát triển và thực hiện một cuộc tấn công khỏi việc cài đặt phần mềm độc hại thực tế. Bối cảnh của những người nhỏ giọt và những cá nhân điều phối chúng luôn ở trạng thái thay đổi liên tục khi họ thích ứng với các biện pháp an ninh phản tiến hóa.

SecuriDropper bỏ qua một số biện pháp bảo mật

Android 13 của Google đã giới thiệu một tính năng bảo mật được gọi là "Cài đặt hạn chế". Tính năng này được thiết kế để ngăn các ứng dụng được tải sẵn có được các quyền của Trình xử lý thông báo và Trợ năng, những quyền này thường bị các Trojan ngân hàng khai thác.

SecuriDropper đã được thiết kế để vượt qua biện pháp bảo vệ này mà không gây nghi ngờ, thường giả mạo thành các ứng dụng có vẻ vô hại. Một số trường hợp gặp phải trong tự nhiên bao gồm:

com.appd.instll.load (Google)

com.appd.instll.load (Google Chrome)

Điều làm nên sự khác biệt của SecuriDropper là cách tiếp cận độc đáo của nó đối với quá trình cài đặt. Không giống như các phiên bản tiền nhiệm, dòng phần mềm độc hại này sử dụng API Android thay thế để cài đặt tải trọng mới, phản ánh quy trình được các thị trường ứng dụng hợp pháp sử dụng để cài đặt ứng dụng mới. Điều này liên quan đến việc yêu cầu quyền đọc và ghi dữ liệu vào bộ nhớ ngoài (READ_EXTERNAL_STORAGE và WRITE_EXTERNAL_STORAGE) cũng như cài đặt và xóa các gói (REQUEST_INSTALL_PACKAGES và DELETE_PACKAGES).

Trong giai đoạn thứ hai của cuộc tấn công, nạn nhân được nhắc nhấp vào nút "Cài đặt lại" trong ứng dụng để giải quyết lỗi cài đặt có mục đích, tạo điều kiện thuận lợi cho việc cài đặt tải trọng độc hại.

Các nhà nghiên cứu đã quan sát thấy sự phân phối của Trojan ngân hàng Android như SpyNote và ERMAC thông qua SecuriDropper trên các trang web lừa đảo và nền tảng của bên thứ ba như Discord.

Tội phạm mạng đang phát triển các công cụ đe dọa của chúng

Tuy nhiên, một dịch vụ nhỏ giọt khác, được gọi là Zombinder, đã được đưa ra ánh sáng, cung cấp giải pháp bỏ qua tính năng Cài đặt hạn chế. Zombinder là một công cụ liên kết APK được cho là đã ngừng hoạt động vào đầu năm nay. Hiện vẫn chưa chắc chắn liệu có bất kỳ mối liên hệ nào giữa hai công cụ này hay không.

Khi Android tiếp tục đặt ra các tiêu chuẩn bảo mật cao hơn với mỗi bản phát hành mới, tội phạm mạng cũng nhanh chóng điều chỉnh và tìm ra giải pháp mới. Nền tảng Dropper-as-a-Service (DaaS) đã nổi lên như một công cụ mạnh mẽ, cho phép các cá nhân liên quan đến lừa đảo xâm nhập vào thiết bị và phân phối phần mềm gián điệp cũng như Trojan ngân hàng.