SecuriDropper Mobile Malware

Οι ειδικοί στον τομέα της κυβερνοασφάλειας παρουσίασαν μια νέα υπηρεσία που ονομάζεται SecuriDropper, η οποία λειτουργεί ως «dDopper-as-a-Service» (DaaS) για συσκευές Android. Το SecuriDropper έχει σχεδιαστεί για να παρακάμπτει τους πιο πρόσφατους περιορισμούς ασφαλείας που εφαρμόζει η Google και αναπτύσσει επιτυχώς κακόβουλο λογισμικό σε συσκευές Android.

Ένα κακόβουλο λογισμικό dropper στο Android χρησιμεύει ως μέσο για τη διευκόλυνση της εγκατάστασης απειλητικού λογισμικού σε παραβιασμένες συσκευές, δημιουργώντας ένα κερδοφόρο επιχειρηματικό μοντέλο για άτομα που σχετίζονται με απάτη. Αυτοί οι παράγοντες απειλών μπορούν να προωθήσουν τις δυνατότητές τους σε άλλες εγκληματικές οργανώσεις.

Επιπλέον, αυτή η προσέγγιση επιτρέπει στους αντιπάλους να διαχωρίσουν την ανάπτυξη και την εκτέλεση μιας επίθεσης από την πραγματική εγκατάσταση του κακόβουλου λογισμικού. Το τοπίο των σταγονόμετρων και των ατόμων που τα ενορχηστρώνουν είναι σε συνεχή ροή καθώς προσαρμόζονται σε αντίθετα εξελισσόμενα μέτρα ασφαλείας.

Το SecuriDropper παρακάμπτει αρκετά μέτρα ασφαλείας

Το Android 13 της Google εισήγαγε μια λειτουργία ασφαλείας γνωστή ως "Περιορισμένες ρυθμίσεις". Αυτή η δυνατότητα έχει σχεδιαστεί για να εμποδίζει τις πλευρικές εφαρμογές να αποκτήσουν δικαιώματα προσβασιμότητας και ακρόασης ειδοποιήσεων, τα οποία εκμεταλλεύονται συχνά οι Τρώες τραπεζών.

Το SecuriDropper έχει σχεδιαστεί για να παρακάμπτει αυτήν την ασφάλεια χωρίς να προκαλεί υποψίες, συχνά μεταμφιεσμένη σε φαινομενικά αβλαβείς εφαρμογές. Μερικές από τις περιπτώσεις που συναντώνται στη φύση περιλαμβάνουν:

com.appd.instll.load (Google)

com.appd.instll.load (Google Chrome)

Αυτό που ξεχωρίζει το SecuriDropper είναι η μοναδική του προσέγγιση στη διαδικασία εγκατάστασης. Σε αντίθεση με τους προκατόχους της, αυτή η οικογένεια κακόβουλου λογισμικού χρησιμοποιεί ένα εναλλακτικό API Android για την εγκατάσταση του νέου ωφέλιμου φορτίου, αντικατοπτρίζοντας τη διαδικασία που χρησιμοποιούν οι νόμιμες αγορές εφαρμογών για νέες εγκαταστάσεις εφαρμογών. Αυτό περιλαμβάνει την αίτηση αδειών για ανάγνωση και εγγραφή δεδομένων σε εξωτερικό χώρο αποθήκευσης (READ_EXTERNAL_STORAGE και WRITE_EXTERNAL_STORAGE) και για εγκατάσταση και διαγραφή πακέτων (REQUEST_INSTALL_PACKAGES και DELETE_PACKAGES).

Στο δεύτερο στάδιο της επίθεσης, τα θύματα καλούνται να κάνουν κλικ σε ένα κουμπί "Επανεγκατάσταση" εντός της εφαρμογής για να αντιμετωπίσουν ένα υποτιθέμενο σφάλμα εγκατάστασης, διευκολύνοντας την εγκατάσταση του κακόβουλου ωφέλιμου φορτίου.

Οι ερευνητές παρατήρησαν τη διανομή τραπεζικών Trojans Android όπως το SpyNote και το ERMAC μέσω του SecuriDropper σε παραπλανητικούς ιστότοπους και πλατφόρμες τρίτων, όπως το Discord.

Οι κυβερνοεγκληματίες εξελίσσουν τα απειλητικά εργαλεία τους

Μια άλλη υπηρεσία σταγονόμετρου, γνωστή ως Zombinder, ήρθε στο φως, προσφέροντας μια παράκαμψη για τη λειτουργία περιορισμένων ρυθμίσεων. Το Zombinder είναι ένα εργαλείο σύνδεσης APK που πιστεύεται ότι είχε κλείσει νωρίτερα αυτό το έτος. Παραμένει αβέβαιο εάν υπάρχει κάποια σχέση μεταξύ αυτών των δύο εργαλείων.

Καθώς το Android συνεχίζει να ορίζει υψηλότερα πρότυπα ασφαλείας με κάθε νέα κυκλοφορία, οι εγκληματίες του κυβερνοχώρου προσαρμόζονται εξίσου γρήγορα και βρίσκουν νέες λύσεις. Οι πλατφόρμες Dropper-as-a-Service (DaaS) έχουν αναδειχθεί ως ισχυρά εργαλεία, επιτρέποντας σε άτομα που σχετίζονται με απάτη να παραβιάζουν συσκευές και να διανέμουν spyware και τραπεζικά Trojans.