Perisian Mudah Alih SecuriDropper

Pakar keselamatan siber telah melancarkan perkhidmatan baru yang dipanggil SecuriDropper, yang beroperasi sebagai 'dDopper-as-a-Service' (DaaS) untuk peranti Android. SecuriDropper direka bentuk untuk memintas sekatan keselamatan terkini yang dilaksanakan oleh Google dan berjaya menggunakan perisian hasad pada peranti Android.

Perisian hasad penitis pada Android berfungsi sebagai cara untuk memudahkan pemasangan perisian yang mengancam pada peranti yang terjejas, mewujudkan model perniagaan yang menguntungkan untuk individu yang berkaitan dengan penipuan. Aktor ancaman ini boleh memasarkan keupayaan mereka kepada organisasi jenayah lain.

Tambahan pula, pendekatan ini membolehkan pihak lawan memisahkan pembangunan dan pelaksanaan serangan daripada pemasangan sebenar perisian hasad. Landskap penitis dan individu yang mengaturnya berada dalam keadaan fluks yang berterusan apabila mereka menyesuaikan diri dengan langkah keselamatan yang berubah-ubah.

SecuriDropper Melangkau Beberapa Langkah Keselamatan

Android 13 Google telah memperkenalkan ciri keselamatan yang dikenali sebagai "Tetapan Terhad." Ciri ini direka bentuk untuk menghalang aplikasi yang dimuat sisi daripada memperoleh kebenaran Kebolehcapaian dan Pendengar Pemberitahuan, yang sering dieksploitasi oleh Trojan perbankan.

SecuriDropper telah direka bentuk untuk memintas perlindungan ini tanpa menimbulkan syak wasangka, sering menyamar sebagai aplikasi yang kelihatan tidak berbahaya. Beberapa contoh yang ditemui di alam liar termasuk:

com.appd.instll.load (Google)

com.appd.install.load (Google Chrome)

Apa yang membezakan SecuriDropper ialah pendekatan uniknya terhadap proses pemasangan. Tidak seperti pendahulunya, keluarga perisian hasad ini menggunakan API Android alternatif untuk memasang muatan baharu, mencerminkan proses yang digunakan oleh pasaran aplikasi yang sah untuk pemasangan aplikasi baharu. Ini melibatkan meminta kebenaran untuk membaca dan menulis data ke storan luaran (READ_EXTERNAL_STORAGE dan WRITE_EXTERNAL_STORAGE) dan untuk memasang dan memadamkan pakej (REQUEST_INSTALL_PACKAGES dan DELETE_PACKAGES).

Pada peringkat kedua serangan, mangsa digesa untuk mengklik butang "Pasang Semula" dalam apl untuk menangani ralat pemasangan yang dikatakan, memudahkan pemasangan muatan berniat jahat.

Penyelidik telah memerhatikan pengedaran Trojan perbankan Android seperti SpyNote dan ERMAC melalui SecuriDropper pada tapak web yang menipu dan platform pihak ketiga seperti Discord.

Penjenayah Siber Mengembangkan Alat Mengancam Mereka

Satu lagi perkhidmatan penitis, dikenali sebagai Zombinder, telah didedahkan, menawarkan pintasan untuk ciri Tetapan Terhad. Zombinder ialah alat mengikat APK yang dipercayai telah ditutup awal tahun ini. Ia masih tidak pasti sama ada terdapat sebarang kaitan antara kedua-dua alat ini.

Memandangkan Android terus menetapkan piawaian keselamatan yang lebih tinggi dengan setiap keluaran baharu, penjenayah siber juga pantas melaraskan dan mencari penyelesaian baharu. Platform Dropper-as-a-Service (DaaS) telah meningkat sebagai instrumen yang berkuasa, membolehkan individu yang berkaitan dengan penipuan melanggar peranti dan mengedarkan perisian pengintip dan Trojan perbankan.