SecuriDropper Mobile Malware

Cybersikkerhedseksperter har afsløret en ny tjeneste kaldet SecuriDropper, der fungerer som en 'dDopper-as-a-Service' (DaaS) til Android-enheder. SecuriDropper er designet til at omgå de seneste sikkerhedsbegrænsninger implementeret af Google og implementerer malware på Android-enheder.

En dropper-malware på Android tjener som et middel til at lette installationen af truende software på kompromitterede enheder, hvilket skaber en rentabel forretningsmodel for svindel-relaterede individer. Disse trusselsaktører kan markedsføre deres kapacitet til andre kriminelle organisationer.

Desuden gør denne tilgang det muligt for modstandere at adskille udviklingen og udførelsen af et angreb fra den faktiske installation af malwaren. Landskabet af droppere og de personer, der orkestrerer dem, er i konstant forandring, mens de tilpasser sig modudviklende sikkerhedsforanstaltninger.

SecuriDropper omgår flere sikkerhedsforanstaltninger

Googles Android 13 har introduceret en sikkerhedsfunktion kendt som "Begrænsede indstillinger." Denne funktion er designet til at forhindre sideindlæste applikationer i at opnå Accessibility og Notification Listener-tilladelser, som ofte udnyttes af banktrojanske heste.

SecuriDropper er blevet konstrueret til at omgå denne beskyttelse uden at vække mistanke, ofte udgivet som tilsyneladende uskadelige applikationer. Nogle af de tilfælde, man støder på i naturen inkluderer:

com.appd.instll.load (Google)

com.appd.instll.load (Google Chrome)

Det, der adskiller SecuriDropper, er dens unikke tilgang til installationsprocessen. I modsætning til sine forgængere anvender denne malware-familie en alternativ Android API til at installere den nye nyttelast, hvilket afspejler den proces, der anvendes af legitime applikationsmarkedspladser til nye applikationsinstallationer. Dette involverer at anmode om tilladelser til at læse og skrive data til eksternt lager (READ_EXTERNAL_STORAGE og WRITE_EXTERNAL_STORAGE) og til at installere og slette pakker (REQUEST_INSTALL_PACKAGES og DELETE_PACKAGES).

I anden fase af angrebet bliver ofrene bedt om at klikke på en "Geninstaller"-knap i appen for at løse en påstået installationsfejl, hvilket letter installationen af den ondsindede nyttelast.

Forskere har observeret distributionen af Android-banktrojanere som SpyNote og ERMAC gennem SecuriDropper på vildledende websteder og tredjepartsplatforme såsom Discord.

Cyberkriminelle udvikler deres truende værktøjer

Endnu en dropper-tjeneste, kendt som Zombinder, er kommet frem i lyset og tilbyder en bypass for funktionen Begrænsede indstillinger. Zombinder er et APK-bindingsværktøj, der menes at være blevet lukket ned tidligere i år. Det er fortsat usikkert, om der er nogen sammenhæng mellem disse to værktøjer.

Da Android fortsætter med at sætte højere sikkerhedsstandarder med hver ny udgivelse, er cyberkriminelle lige så hurtige til at justere og finde nye løsninger. Dropper-as-a-Service (DaaS) platforme er vokset som kraftfulde instrumenter, der gør det muligt for svindel-relaterede individer at bryde enheder og distribuere spyware og banktrojanske heste.