SecuriDropper mobiili pahavara

Küberturvalisuse eksperdid on avalikustanud uudse teenuse nimega SecuriDropper, mis toimib Android-seadmete jaoks dDopper-as-a-Servicena (DaaS). SecuriDropper on loodud Google'i uusimatest turvapiirangutest kõrvalehoidmiseks ja juurutab pahavara edukalt Android-seadmetes.

Androidi tilguti pahavara on vahend, mis hõlbustab ohustatud seadmetesse ähvardava tarkvara installimist, luues pettusega seotud isikutele tulutoova ärimudeli. Need ohustajad võivad oma võimeid teistele kuritegelikele organisatsioonidele turustada.

Lisaks võimaldab see lähenemine vastastel eraldada ründe arendamine ja teostamine pahavara tegelikust installimisest. Tilgutajate maastik ja neid korraldavad isikud on pidevas muutumises, kuna nad kohanevad vastupidiselt arenevate turvameetmetega.

SecuriDropper möödub mitmetest turvameetmetest

Google'i Android 13 on kasutusele võtnud turvafunktsiooni, mida tuntakse kui "piiratud seaded". See funktsioon on loodud selleks, et takistada külglaaditud rakendustel hankida juurdepääsetavuse ja teavituskuulaja lubasid, mida pangandustroojalased sageli ära kasutavad.

SecuriDropper on konstrueeritud nii, et see kaitseb kahtlust äratamata, maskeerides sageli näiliselt kahjutute rakendustena. Mõned looduses esinevad juhtumid hõlmavad järgmist:

com.appd.instll.load (Google)

com.appd.instll.load (Google Chrome)

SecuriDropperi eristab selle ainulaadne lähenemine installiprotsessile. Erinevalt oma eelkäijatest kasutab see pahavaraperekond uue kasuliku koormuse installimiseks alternatiivset Android API-d, mis peegeldab seaduslike rakenduste turuplatside poolt uute rakenduste installimiseks kasutatavat protsessi. See hõlmab lubade taotlemist andmete lugemiseks ja kirjutamiseks välismällu (READ_EXTERNAL_STORAGE ja WRITE_EXTERNAL_STORAGE) ning pakettide installimiseks ja kustutamiseks (REQUEST_INSTALL_PACKAGES ja DELETE_PACKAGES).

Rünnaku teises etapis palutakse ohvritel klõpsata rakenduses nuppu Installi uuesti, et lahendada väidetav installivea, mis hõlbustab pahatahtliku kasuliku koormuse installimist.

Teadlased on jälginud Androidi pangandustroojalaste, nagu SpyNote ja ERMAC , levitamist SecuriDropperi kaudu petlikel veebisaitidel ja kolmandate osapoolte platvormidel, nagu Discord.

Küberkurjategijad arendavad oma ähvardamisvahendeid

Veel üks tilgutiteenus, mida tuntakse Zombinderina, on päevavalgele tulnud, pakkudes funktsiooni Piiratud seaded möödaviigu. Zombinder on APK sidumistööriist, mis arvati olevat selle aasta alguses suletud. Jääb ebaselgeks, kas nende kahe tööriista vahel on seos.

Kuna Android seab iga uue väljalaskega jätkuvalt kõrgemaid turvastandardeid, on küberkurjategijatel sama kiire kohanemine ja uute lahenduste leidmine. Dropper-as-a-Service (DaaS) platvormid on tõusnud võimsate vahenditena, mis võimaldavad pettusega seotud isikutel rikkuda seadmeid ning levitada nuhkvara ja pangandustroojalasi.