SecuriDropper Mobile -haittaohjelma

Kyberturvallisuusasiantuntijat ovat julkistaneet uuden palvelun nimeltä SecuriDropper, joka toimii "dDopper-as-a-Servicena" (DaaS) Android-laitteille. SecuriDropper on suunniteltu kiertämään uusimmat Googlen asettamat tietoturvarajoitukset ja asentaa haittaohjelmia onnistuneesti Android-laitteille.

Androidin dropper-haittaohjelma helpottaa uhkaavien ohjelmistojen asentamista vaarantuneisiin laitteisiin ja luo kannattavan liiketoimintamallin petoksiin liittyville henkilöille. Nämä uhkatoimijat voivat markkinoida kykyjään muille rikollisjärjestöille.

Lisäksi tämä lähestymistapa antaa vastustajille mahdollisuuden erottaa hyökkäyksen kehittäminen ja suorittaminen haittaohjelman varsinaisesta asennuksesta. Pisaroiden maisema ja niitä järjestävät yksilöt ovat jatkuvassa muutoksessa, kun he mukautuvat vastakehittyviin turvatoimiin.

SecuriDropper ohittaa useita turvatoimia

Googlen Android 13 on ottanut käyttöön suojausominaisuuden, joka tunnetaan nimellä "rajoitetut asetukset". Tämä ominaisuus on suunniteltu estämään sivulta ladattuja sovelluksia saamasta Accessibility- ja Notification Listener -käyttöoikeuksia, joita pankkitroijalaiset usein käyttävät hyväkseen.

SecuriDropper on suunniteltu ohittamaan tämä suojaus herättämättä epäilyksiä, usein naamioituen vaarattomalta vaikuttaviksi sovelluksiksi. Jotkut luonnossa kohdatuista tapauksista ovat:

com.appd.instll.load (Google)

com.appd.instll.load (Google Chrome)

SecuriDropperin erottaa sen ainutlaatuinen lähestymistapa asennusprosessiin. Toisin kuin edeltäjänsä, tämä haittaohjelmaperhe käyttää vaihtoehtoista Android-sovellusliittymää uuden hyötykuorman asentamiseen, mikä peilaa prosessia, jota lailliset sovellusmarkkinat käyttävät uusien sovellusten asentamiseen. Tämä edellyttää lupien pyytämistä tietojen lukemiseen ja kirjoittamiseen ulkoiseen tallennustilaan (READ_EXTERNAL_STORAGE ja WRITE_EXTERNAL_STORAGE) sekä pakettien asentamiseen ja poistamiseen (REQUEST_INSTALL_PACKAGES ja DELETE_PACKAGES).

Hyökkäyksen toisessa vaiheessa uhreja kehotetaan napsauttamaan "Asenna uudelleen" -painiketta sovelluksessa korjatakseen väitetyn asennusvirheen, mikä helpottaa haitallisen hyötykuorman asentamista.

Tutkijat ovat havainneet Android-pankkitroijalaisten, kuten SpyNote ja ERMAC , jakelun SecuriDropperin kautta petollisilla verkkosivustoilla ja kolmansien osapuolien alustoilla, kuten Discord.

Kyberrikolliset kehittävät uhkailuvälineitään

Vielä yksi dropper-palvelu, joka tunnetaan nimellä Zombinder, on tullut ilmi, ja se tarjoaa ohituksen Restricted Settings -ominaisuuteen. Zombinder on APK-sidontatyökalu, jonka uskottiin suljetun aiemmin tänä vuonna. On edelleen epävarmaa, onko näiden kahden työkalun välillä yhteyttä.

Koska Android asettaa yhä korkeammat turvallisuusstandardit jokaisen uuden julkaisun myötä, kyberrikolliset ovat yhtä nopeita sopeutumaan ja löytämään uusia ratkaisuja. Dropper-as-a-Service (DaaS) -alustat ovat nousseet tehokkaiksi välineiksi, joiden avulla petokseen liittyvät henkilöt voivat murtautua laitteisiin ja levittää vakoiluohjelmia ja pankkitroijalaisia.