SecuriDropper mobilni zlonamjerni softver

Stručnjaci za kibernetičku sigurnost predstavili su novu uslugu pod nazivom SecuriDropper, koja radi kao 'dDopper-as-a-Service' (DaaS) za Android uređaje. SecuriDropper je dizajniran za zaobilaženje najnovijih sigurnosnih ograničenja koje je implementirao Google i uspješno postavlja zlonamjerni softver na Android uređaje.

Dropper malware na Androidu služi kao sredstvo za olakšavanje instalacije prijetećeg softvera na kompromitirane uređaje, stvarajući profitabilan poslovni model za pojedince povezane s prijevarama. Ovi akteri prijetnji mogu plasirati svoje sposobnosti drugim kriminalnim organizacijama.

Nadalje, ovaj pristup omogućuje protivnicima da odvoje razvoj i izvođenje napada od stvarne instalacije zlonamjernog softvera. Krajolik padalica i pojedinaca koji ih orkestriraju u stalnom je stanju fluktuacije dok se prilagođavaju protuevoluirajućim sigurnosnim mjerama.

SecuriDropper zaobilazi nekoliko sigurnosnih mjera

Googleov Android 13 uveo je sigurnosnu značajku poznatu kao "Ograničene postavke". Ova je značajka osmišljena kako bi spriječila bočno učitane aplikacije da dobiju dopuštenja pristupačnosti i slušatelja obavijesti, što često iskorištavaju bankarski trojanci.

SecuriDropper je projektiran da zaobiđe ovu zaštitu bez izazivanja sumnje, često maskirajući se kao naizgled bezazlene aplikacije. Neki od primjera koji se susreću u divljini uključuju:

com.appd.instll.load (Google)

com.appd.instll.load (Google Chrome)

Ono što izdvaja SecuriDropper je njegov jedinstven pristup procesu instalacije. Za razliku od svojih prethodnika, ova obitelj zlonamjernog softvera koristi alternativni Android API za instaliranje novog sadržaja, odražavajući proces koji koriste legitimna tržišta aplikacija za nove instalacije aplikacija. To uključuje traženje dopuštenja za čitanje i pisanje podataka u vanjsku pohranu (READ_EXTERNAL_STORAGE i WRITE_EXTERNAL_STORAGE) te za instaliranje i brisanje paketa (REQUEST_INSTALL_PACKAGES i DELETE_PACKAGES).

U drugoj fazi napada, od žrtava se traži da kliknu na gumb "Ponovno instaliraj" unutar aplikacije kako bi riješili navodnu pogrešku instalacije, olakšavajući instalaciju zlonamjernog sadržaja.

Istraživači su promatrali distribuciju Android bankovnih trojanaca kao što su SpyNote i ERMAC putem SecuriDroppera na lažnim web stranicama i platformama trećih strana kao što je Discord.

Cyberkriminalci razvijaju svoje prijeteće alate

Još jedna dropper usluga, poznata kao Zombinder, izašla je na vidjelo, a nudi premosnicu za značajku Ograničene postavke. Zombinder je alat za vezanje APK-a za koji se vjerovalo da je ugašen ranije ove godine. Ostaje neizvjesno postoji li ikakva veza između ova dva alata.

Kako Android nastavlja postavljati više sigurnosne standarde sa svakim novim izdanjem, kibernetički kriminalci se jednako brzo prilagođavaju i pronalaze nova rješenja. Dropper-as-a-Service (DaaS) platforme postale su moćni instrumenti, omogućujući pojedincima povezanim s prijevarama da provale u uređaje i distribuiraju špijunski softver i bankarske trojance.