البرامج الضارة للأجهزة المحمولة SecuriDropper

كشف خبراء الأمن السيبراني عن خدمة جديدة تسمى SecuriDropper، والتي تعمل بمثابة "dDopper-as-a-Service" (DaaS) لأجهزة Android. تم تصميم SecuriDropper للتحايل على أحدث القيود الأمنية التي تطبقها Google ونشر البرامج الضارة بنجاح على أجهزة Android.

تعمل البرمجيات الخبيثة المتسربة على Android كوسيلة لتسهيل تثبيت برامج التهديد على الأجهزة المخترقة، مما يؤدي إلى إنشاء نموذج أعمال مربح للأفراد المرتبطين بالاحتيال. ويمكن للجهات التهديدية هذه تسويق قدراتها لمنظمات إجرامية أخرى.

علاوة على ذلك، يتيح هذا النهج للأعداء فصل تطوير وتنفيذ الهجوم عن التثبيت الفعلي للبرامج الضارة. إن مشهد القطارات والأفراد الذين ينظمونها في حالة تغير مستمر حيث يتكيفون مع التدابير الأمنية المضادة للتطور.

SecuriDropper يتجاوز العديد من التدابير الأمنية

قدم Android 13 من Google ميزة أمان تُعرف باسم "الإعدادات المقيدة". تم تصميم هذه الميزة لمنع التطبيقات المحملة جانبيًا من الحصول على أذونات إمكانية الوصول ومستمع الإشعارات، والتي يتم استغلالها بشكل متكرر بواسطة أحصنة طروادة المصرفية.

وقد تم تصميم SecuriDropper لتجاوز هذه الحماية دون إثارة الشكوك، وغالبًا ما يتنكر على شكل تطبيقات تبدو غير ضارة. بعض الحالات التي تمت مواجهتها في البرية تشمل:

com.appd.instll.load (جوجل)

com.appd.instll.load (جوجل كروم)

ما يميز SecuriDropper هو أسلوبه الفريد في عملية التثبيت. وعلى عكس سابقاتها، تستخدم عائلة البرامج الضارة هذه واجهة برمجة تطبيقات Android بديلة لتثبيت الحمولة الجديدة، مما يعكس العملية التي تستخدمها أسواق التطبيقات الشرعية لعمليات تثبيت التطبيقات الجديدة. يتضمن ذلك طلب أذونات لقراءة البيانات وكتابتها إلى وحدة التخزين الخارجية (READ_EXTERNAL_STORAGE وWRITE_EXTERNAL_STORAGE) ولتثبيت الحزم وحذفها (REQUEST_INSTALL_PACKAGES وDELETE_PACKAGES).

وفي المرحلة الثانية من الهجوم، يُطلب من الضحايا النقر على زر "إعادة التثبيت" داخل التطبيق لمعالجة خطأ التثبيت المزعوم، مما يسهل تثبيت الحمولة الضارة.

لاحظ الباحثون توزيع أحصنة طروادة المصرفية لنظام Android مثل SpyNote و ERMAC من خلال SecuriDropper على مواقع الويب الخادعة ومنصات الطرف الثالث مثل Discord.

يقوم مجرمو الإنترنت بتطوير أدوات التهديد الخاصة بهم

لقد ظهرت إلى النور خدمة قطارة أخرى، تُعرف باسم Zombinder ، والتي توفر تجاوزًا لميزة الإعدادات المقيدة. Zombinder هي أداة ربط APK يُعتقد أنه تم إغلاقها في وقت سابق من هذا العام. ولا يزال من غير المؤكد ما إذا كان هناك أي صلة بين هاتين الأداتين.

مع استمرار Android في وضع معايير أمان أعلى مع كل إصدار جديد، يسارع مجرمو الإنترنت إلى التكيف وإيجاد حلول جديدة. لقد برزت منصات Dropper-as-a-Service (DaaS) كأدوات قوية، مما مكن الأفراد المرتبطين بالاحتيال من اختراق الأجهزة وتوزيع برامج التجسس وأحصنة طروادة المصرفية.