Malware mobile SecuriDropper

Gli esperti di sicurezza informatica hanno presentato un nuovo servizio chiamato SecuriDropper, che funziona come "dDopper-as-a-Service" (DaaS) per i dispositivi Android. SecuriDropper è progettato per eludere le ultime restrizioni di sicurezza implementate da Google e distribuisce con successo malware sui dispositivi Android.

Un malware dropper su Android funge da mezzo per facilitare l'installazione di software minaccioso su dispositivi compromessi, creando un modello di business redditizio per gli individui legati alle frodi. Questi autori di minacce possono commercializzare le loro capacità ad altre organizzazioni criminali.

Inoltre, questo approccio consente agli aggressori di separare lo sviluppo e l’esecuzione di un attacco dall’effettiva installazione del malware. Il panorama dei droppers e gli individui che li orchestrano è in costante stato di cambiamento mentre si adattano a misure di sicurezza in controevoluzione.

SecuriDropper aggira diverse misure di sicurezza

Android 13 di Google ha introdotto una funzionalità di sicurezza nota come "Impostazioni limitate". Questa funzionalità è progettata per impedire alle applicazioni trasferite lateralmente di acquisire autorizzazioni di accessibilità e ascolto delle notifiche, che vengono spesso sfruttate dai trojan bancari.

SecuriDropper è stato progettato per aggirare questa protezione senza destare sospetti, spesso mascherati da applicazioni apparentemente innocue. Alcuni dei casi riscontrati in natura includono:

com.appd.instll.load (Google)

com.appd.instll.load (Google Chrome)

Ciò che distingue SecuriDropper è il suo approccio unico al processo di installazione. A differenza dei suoi predecessori, questa famiglia di malware utilizza un'API Android alternativa per installare il nuovo payload, rispecchiando il processo utilizzato dai marketplace di applicazioni legittimi per le installazioni di nuove applicazioni. Ciò comporta la richiesta di autorizzazioni per leggere e scrivere dati su dispositivi di archiviazione esterni (READ_EXTERNAL_STORAGE e WRITE_EXTERNAL_STORAGE) e per installare ed eliminare pacchetti (REQUEST_INSTALL_PACKAGES e DELETE_PACKAGES).

Nella seconda fase dell'attacco, alle vittime viene chiesto di fare clic sul pulsante "Reinstalla" all'interno dell'app per risolvere un presunto errore di installazione, facilitando l'installazione del payload dannoso.

I ricercatori hanno osservato la distribuzione di trojan bancari Android come SpyNote ed ERMAC tramite SecuriDropper su siti Web ingannevoli e piattaforme di terzi come Discord.

I criminali informatici stanno evolvendo i loro strumenti di minaccia

Ancora un altro servizio dropper, noto come Zombinder, è venuto alla luce, offrendo un bypass per la funzione Impostazioni limitate. Zombinder è uno strumento di associazione APK che si credeva fosse stato chiuso all'inizio di quest'anno. Non è chiaro se esista un legame tra questi due strumenti.

Poiché Android continua a stabilire standard di sicurezza sempre più elevati con ogni nuova versione, i criminali informatici sono altrettanto rapidi ad adeguarsi e a trovare nuove soluzioni. Le piattaforme Dropper-as-a-Service (DaaS) sono diventate strumenti potenti, consentendo agli individui coinvolti in attività fraudolente di violare dispositivi e distribuire spyware e trojan bancari.