„SecuriDropper Mobile“ kenkėjiška programa

Kibernetinio saugumo ekspertai pristatė naują paslaugą „SecuriDropper“, kuri veikia kaip „dDopper-as-a-Service“ (DaaS), skirta „Android“ įrenginiams. „SecuriDropper“ sukurtas siekiant apeiti naujausius „Google“ taikomus saugos apribojimus ir sėkmingai diegia kenkėjiškas programas „Android“ įrenginiuose.

„Android“ skirtos kenkėjiškos programos padeda lengviau įdiegti grėsmingą programinę įrangą pažeistuose įrenginiuose, sukuriant pelningą verslo modelį su sukčiavimu susijusiems asmenims. Šie grėsmės veikėjai gali parduoti savo pajėgumus kitoms nusikalstamoms organizacijoms.

Be to, šis metodas leidžia priešininkams atskirti atakos kūrimą ir vykdymą nuo tikrojo kenkėjiškos programos įdiegimo. Lašintuvų kraštovaizdis ir juos organizuojantys asmenys nuolat keičiasi, nes jie prisitaiko prie priešingai besikeičiančių saugumo priemonių.

„SecuriDropper“ apeina keletą saugumo priemonių

„Google“ „Android 13“ įdiegė saugos funkciją, vadinamą „Ribotais nustatymais“. Ši funkcija skirta neleisti įkeltoms programoms įgyti pritaikymo neįgaliesiems ir pranešimų klausytojo leidimų, kuriuos dažnai naudoja bankų Trojos arklys.

„SecuriDropper“ buvo sukurtas taip, kad apeitų šią apsaugą, nesukeldamas įtarimo, dažnai apgaubdamas iš pažiūros nekenksmingas programas. Kai kurie atvejai, sutinkami gamtoje, yra šie:

com.appd.instll.load (Google)

com.appd.instll.load („Google Chrome“)

„SecuriDropper“ išskiria unikalų požiūrį į diegimo procesą. Skirtingai nuo savo pirmtakų, ši kenkėjiškų programų šeima naudoja alternatyvią Android API, kad įdiegtų naują naudingą apkrovą, atspindinčią procesą, kurį naudoja teisėtos programų prekyvietės naujoms programoms diegti. Tai apima užklausą dėl leidimo skaityti ir rašyti duomenis į išorinę saugyklą (READ_EXTERNAL_STORAGE ir WRITE_EXTERNAL_STORAGE) ir įdiegti bei ištrinti paketus (REQUEST_INSTALL_PACKAGES ir DELETE_PACKAGES).

Antrajame atakos etape aukos raginamos spustelėti mygtuką „Įdiegti iš naujo“ programoje, kad būtų pašalinta tariama diegimo klaida, palengvinanti kenkėjiškos apkrovos įdiegimą.

Tyrėjai stebėjo Android bankininkystės Trojos arklių, tokių kaip SpyNote ir ERMAC , platinimą per SecuriDropper apgaulingose svetainėse ir trečiųjų šalių platformose, pvz., Discord.

Kibernetiniai nusikaltėliai tobulina savo grasinančius įrankius

Dar viena lašintuvo paslauga, žinoma kaip „Zombinder“, išaiškėjo, siūlanti apeiti funkciją „Restricted Settings“. Zombinder yra APK susiejimo įrankis, kuris, kaip manoma, buvo uždarytas anksčiau šiais metais. Lieka neaišku, ar tarp šių dviejų priemonių yra koks nors ryšys.

Kadangi „Android“ ir toliau nustato aukštesnius saugos standartus su kiekviena nauja versija, kibernetiniai nusikaltėliai taip pat greitai prisitaiko ir randa naujų sprendimų. „Dropper-as-a-Service“ (DaaS) platformos tapo galingomis priemonėmis, leidžiančiomis su sukčiavimu susijusiems asmenims įsilaužti į įrenginius ir platinti šnipinėjimo programas bei bankininkystės Trojos arklys.