SecuriDropper mobil skadelig programvare
Eksperter på nettsikkerhet har avduket en ny tjeneste kalt SecuriDropper, som fungerer som en 'dDopper-as-a-Service' (DaaS) for Android-enheter. SecuriDropper er designet for å omgå de siste sikkerhetsrestriksjonene implementert av Google og distribuerer skadelig programvare på Android-enheter.
En dropper malware på Android fungerer som et middel for å lette installasjonen av truende programvare på kompromitterte enheter, og skaper en lønnsom forretningsmodell for svindelrelaterte personer. Disse trusselaktørene kan markedsføre sine evner til andre kriminelle organisasjoner.
Videre gjør denne tilnærmingen det mulig for motstandere å skille utvikling og utførelse av et angrep fra selve installasjonen av skadelig programvare. Landskapet med droppere og individene som orkestrerer dem er i konstant forandring mens de tilpasser seg mot-utviklende sikkerhetstiltak.
SecuriDropper omgår flere sikkerhetstiltak
Googles Android 13 har introdusert en sikkerhetsfunksjon kjent som «Begrensede innstillinger». Denne funksjonen er utviklet for å forhindre sidelastede applikasjoner i å få tilgangs- og varslingslyttertillatelser, som ofte utnyttes av banktrojanere.
SecuriDropper har blitt konstruert for å omgå denne beskyttelsen uten å vekke mistanke, ofte utgitt som tilsynelatende ufarlige applikasjoner. Noen av tilfellene som oppstår i naturen inkluderer:
com.appd.instll.load (Google)
com.appd.instll.load (Google Chrome)
Det som skiller SecuriDropper er dens unike tilnærming til installasjonsprosessen. I motsetning til sine forgjengere, bruker denne malware-familien et alternativt Android API for å installere den nye nyttelasten, og speiler prosessen som brukes av legitime applikasjonsmarkedsplasser for nye applikasjonsinstallasjoner. Dette innebærer å be om tillatelser til å lese og skrive data til ekstern lagring (READ_EXTERNAL_STORAGE og WRITE_EXTERNAL_STORAGE) og å installere og slette pakker (REQUEST_INSTALL_PACKAGES og DELETE_PACKAGES).
I den andre fasen av angrepet blir ofrene bedt om å klikke på en "Reinstall"-knapp i appen for å løse en påstått installasjonsfeil, noe som letter installasjonen av den ondsinnede nyttelasten.
Forskere har observert distribusjonen av Android-banktrojanere som SpyNote og ERMAC gjennom SecuriDropper på villedende nettsteder og tredjepartsplattformer som Discord.
Nettkriminelle utvikler sine truende verktøy
Nok en dropper-tjeneste, kjent som Zombinder, har kommet frem, og tilbyr en bypass for funksjonen for begrensede innstillinger. Zombinder er et APK-bindingsverktøy som ble antatt å ha blitt stengt ned tidligere i år. Det er fortsatt usikkert om det er noen sammenheng mellom disse to verktøyene.
Ettersom Android fortsetter å sette høyere sikkerhetsstandarder med hver nye utgivelse, er nettkriminelle like raske til å justere og finne nye løsninger. Dropper-as-a-Service (DaaS)-plattformer har vokst frem som kraftige instrumenter, som gjør det mulig for svindelrelaterte personer å bryte enheter og distribuere spionprogrammer og banktrojanere.
