Mobilní malware SecuriDropper

Odborníci na kybernetickou bezpečnost představili novou službu s názvem SecuriDropper, která funguje jako „dDopper-as-a-Service“ (DaaS) pro zařízení Android. SecuriDropper je navržen tak, aby obcházel nejnovější bezpečnostní omezení implementovaná společností Google a úspěšně nasazoval malware do zařízení Android.

Malware typu dropper v systému Android slouží jako prostředek k usnadnění instalace ohrožujícího softwaru na napadená zařízení a vytváří tak ziskový obchodní model pro jednotlivce související s podvody. Tito aktéři hrozeb mohou nabízet své schopnosti jiným zločineckým organizacím.

Tento přístup navíc umožňuje protivníkům oddělit vývoj a provedení útoku od skutečné instalace malwaru. Krajina dropperů a jednotlivců, kteří je organizují, se neustále mění, protože se přizpůsobují měnícím se bezpečnostním opatřením.

SecuriDropper obchází několik bezpečnostních opatření

Android 13 od Googlu zavedl bezpečnostní funkci známou jako „Omezená nastavení“. Tato funkce je navržena tak, aby zabránila aplikacím s vedlejším zatížením v získání oprávnění Přístupnost a Posluchač upozornění, která často zneužívají bankovní trojské koně.

SecuriDropper byl navržen tak, aby obešel tuto ochranu, aniž by vzbudil podezření, často se vydává za zdánlivě neškodné aplikace. Některé z případů, které se vyskytují ve volné přírodě, zahrnují:

com.appd.instll.load (Google)

com.appd.instll.load (Google Chrome)

To, co odlišuje SecuriDropper, je jeho jedinečný přístup k procesu instalace. Na rozdíl od svých předchůdců tato rodina malwaru používá k instalaci nového užitečného zatížení alternativní rozhraní Android API, které odráží proces, který používají legitimní tržiště aplikací pro nové instalace aplikací. To zahrnuje vyžádání oprávnění ke čtení a zápisu dat na externí úložiště (READ_EXTERNAL_STORAGE a WRITE_EXTERNAL_STORAGE) a k instalaci a odstraňování balíčků (REQUEST_INSTALL_PACKAGES a DELETE_PACKAGES).

Ve druhé fázi útoku jsou oběti vyzvány, aby v aplikaci klikly na tlačítko „Přeinstalovat“, aby se vyřešila údajná chyba instalace, což usnadní instalaci škodlivého obsahu.

Výzkumníci pozorovali distribuci Android bankovních trojských koní, jako je SpyNote a ERMAC , prostřednictvím SecuriDropper na podvodných webech a platformách třetích stran, jako je Discord.

Kyberzločinci vyvíjejí své hrozby

Objevila se další služba kapátka, známá jako Zombinder, která nabízí obejití funkce Omezená nastavení. Zombinder je nástroj pro vazbu APK, o kterém se věřilo, že byl na začátku tohoto roku ukončen. Zůstává nejisté, zda mezi těmito dvěma nástroji existuje nějaká souvislost.

Vzhledem k tomu, že Android s každým novým vydáním neustále nastavuje vyšší bezpečnostní standardy, kyberzločinci se stejně rychle přizpůsobují a nacházejí nová řešení. Platformy Dropper-as-a-Service (DaaS) se staly účinnými nástroji, které umožňují jednotlivcům souvisejícím s podvody narušit zařízení a distribuovat spyware a bankovní trojské koně.