SecuriDropper Mobile Malware

Експертите по киберсигурност разкриха нова услуга, наречена SecuriDropper, която работи като „dDopper-as-a-Service“ (DaaS) за устройства с Android. SecuriDropper е проектиран да заобикаля най-новите ограничения за сигурност, въведени от Google, и успешно внедрява зловреден софтуер на устройства с Android.

Зловреден софтуер за капкомер на Android служи като средство за улесняване на инсталирането на заплашителен софтуер на компрометирани устройства, създавайки печеливш бизнес модел за лица, свързани с измами. Тези участници в заплахата могат да пласират възможностите си на други престъпни организации.

Освен това този подход позволява на противниците да отделят разработването и изпълнението на атака от действителното инсталиране на зловреден софтуер. Пейзажът на дропперите и хората, които ги организират, е в състояние на постоянна промяна, докато се адаптират към контраразвиващите се мерки за сигурност.

SecuriDropper заобикаля няколко мерки за сигурност

Android 13 на Google въведе функция за сигурност, известна като „Ограничени настройки“. Тази функция е предназначена да попречи на странично заредените приложения да придобият разрешения за достъпност и приемане на известия, които често се експлоатират от банкови троянски коне.

SecuriDropper е проектиран да заобикаля тази защита, без да буди подозрение, често маскиран като привидно безобидни приложения. Някои от случаите, срещани в дивата природа, включват:

com.appd.instll.load (Google)

com.appd.instll.load (Google Chrome)

Това, което отличава SecuriDropper е неговият уникален подход към инсталационния процес. За разлика от своите предшественици, тази фамилия зловреден софтуер използва алтернативен Android API за инсталиране на новия полезен товар, отразявайки процеса, използван от легитимните пазари на приложения за нови инсталации на приложения. Това включва искане на разрешения за четене и запис на данни във външно хранилище (READ_EXTERNAL_STORAGE и WRITE_EXTERNAL_STORAGE) и за инсталиране и изтриване на пакети (REQUEST_INSTALL_PACKAGES и DELETE_PACKAGES).

Във втория етап на атаката жертвите са подканени да щракнат върху бутона „Преинсталиране“ в рамките на приложението, за да адресират предполагаема грешка при инсталиране, улеснявайки инсталирането на злонамерения полезен товар.

Изследователите са наблюдавали разпространението на банкови троянски коне за Android като SpyNote и ERMAC чрез SecuriDropper на измамни уебсайтове и платформи на трети страни като Discord.

Киберпрестъпниците развиват своите заплашителни инструменти

Появи се още една услуга за капкомер, известна като Zombinder, която предлага байпас за функцията за ограничени настройки. Zombinder е инструмент за свързване на APK, за който се смяташе, че е бил спрян по-рано тази година. Остава несигурно дали има някаква връзка между тези два инструмента.

Тъй като Android продължава да задава по-високи стандарти за сигурност с всяка нова версия, киберпрестъпниците са също толкова бързи да се приспособят и да намерят нови решения. Платформите Dropper-as-a-Service (DaaS) се издигнаха като мощни инструменти, позволяващи на лица, свързани с измами, да пробиват устройства и да разпространяват шпионски софтуер и банкови троянски коне.