Programari maliciós mòbil SecuriDropper
Els experts en ciberseguretat han presentat un nou servei anomenat SecuriDropper, que funciona com a "dDopper-as-a-Service" (DaaS) per a dispositius Android. SecuriDropper està dissenyat per eludir les últimes restriccions de seguretat implementades per Google i desplega amb èxit programari maliciós als dispositius Android.
Un programari maliciós dropper a Android serveix com a mitjà per facilitar la instal·lació de programari amenaçador en dispositius compromesos, creant un model de negoci rendible per a persones relacionades amb el frau. Aquests actors d'amenaça poden comercialitzar les seves capacitats a altres organitzacions criminals.
A més, aquest enfocament permet als adversaris separar el desenvolupament i l'execució d'un atac de la instal·lació real del programari maliciós. El paisatge dels comptagotes i els individus que els orquestren està en un estat de canvi constant a mesura que s'adapten a les mesures de seguretat en contraevolució.
SecuriDropper evita diverses mesures de seguretat
L'Android 13 de Google ha introduït una funció de seguretat coneguda com a "Configuració restringida". Aquesta funció està dissenyada per evitar que les aplicacions de càrrega lateral adquireixin permisos d'accessibilitat i d'escolta de notificacions, que sovint són explotats pels troians bancaris.
SecuriDropper s'ha dissenyat per evitar aquesta salvaguarda sense despertar sospita, sovint dissimulant-se com a aplicacions aparentment innòcues. Alguns dels casos que es troben a la natura inclouen:
com.appd.instll.load (Google)
com.appd.instll.load (Google Chrome)
El que diferencia a SecuriDropper és el seu enfocament únic del procés d'instal·lació. A diferència dels seus predecessors, aquesta família de programari maliciós utilitza una API d'Android alternativa per instal·lar la nova càrrega útil, reflectint el procés emprat pels mercats d'aplicacions legítims per a instal·lacions noves d'aplicacions. Això implica sol·licitar permisos per llegir i escriure dades a l'emmagatzematge extern (READ_EXTERNAL_STORAGE i WRITE_EXTERNAL_STORAGE) i per instal·lar i suprimir paquets (REQUEST_INSTALL_PACKAGES i DELETE_PACKAGES).
En la segona etapa de l'atac, se'ls demana a les víctimes que facin clic al botó "Reinstal·la" dins de l'aplicació per solucionar un suposat error d'instal·lació, facilitant la instal·lació de la càrrega útil maliciosa.
Els investigadors han observat la distribució de troians bancaris d'Android com SpyNote i ERMAC a través de SecuriDropper en llocs web enganyosos i plataformes de tercers com Discord.
Els cibercriminals estan evolucionant les seves eines amenaçadores
Un altre servei de comptagotes, conegut com a Zombinder, ha sortit a la llum, que ofereix un bypass per a la funció de configuració restringida. Zombinder és una eina d'enllaç APK que es creia que s'havia tancat a principis d'aquest any. Encara no està clar si hi ha cap vincle entre aquestes dues eines.
A mesura que Android segueix establint estàndards de seguretat més alts amb cada nou llançament, els ciberdelinqüents són igualment ràpids per ajustar-se i trobar noves solucions. Les plataformes Dropper-as-a-Service (DaaS) s'han convertit en instruments potents, que permeten als individus relacionats amb el frau trencar dispositius i distribuir programari espia i troians bancaris.
