SecuriDropper Mobile Malware

Os especialistas em segurança cibernética revelaram um novo serviço chamado SecuriDropper, que opera como um ‘dDopper-as-a-Service’ (DaaS) para dispositivos Android. O SecuriDropper foi projetado para contornar as mais recentes restrições de segurança implementadas pelo Google e implantar malware com sucesso em dispositivos Android.

Um malware dropper no Android serve como um meio de facilitar a instalação de software ameaçador em dispositivos comprometidos, criando um modelo de negócios lucrativo para indivíduos relacionados a fraudes. Esses atores de ameaças podem comercializar suas capacidades para outras organizações criminosas.

Além disso, esta abordagem permite que os adversários separem o desenvolvimento e a execução de um ataque da instalação real do malware. O panorama dos conta-gotas e dos indivíduos que os orquestram está em constante estado de fluxo à medida que se adaptam às medidas de segurança em contra-evolução.

O SecuriDropper Ignora Várias Medidas de Segurança

O Android 13 do Google introduziu um recurso de segurança conhecido como “Configurações restritas”. Esse recurso foi projetado para evitar que aplicativos transferidos por sideload adquiram permissões de acessibilidade e ouvinte de notificação, que são frequentemente exploradas por cavalos de Tróia bancários.

O SecuriDropper foi projetado para contornar essa proteção sem levantar suspeitas, muitas vezes disfarçando-se de aplicações aparentemente inócuas. Algumas das instâncias encontradas na natureza incluem:

com.appd.instll.load (Google)

com.appd.instll.load (Google Chrome)

O que diferencia o SecuriDropper é sua abordagem única ao processo de instalação. Ao contrário de seus antecessores, esta família de malware emprega uma API Android alternativa para instalar a nova carga útil, espelhando o processo empregado por mercados de aplicativos legítimos para instalações de novos aplicativos. Isso envolve solicitar permissões para ler e gravar dados em armazenamento externo (READ_EXTERNAL_STORAGE e WRITE_EXTERNAL_STORAGE) e para instalar e excluir pacotes (REQUEST_INSTALL_PACKAGES e DELETE_PACKAGES).

No segundo estágio do ataque, as vítimas são solicitadas a clicar no botão “Reinstalar” no aplicativo para resolver um suposto erro de instalação, facilitando a instalação da carga maliciosa.

Os pesquisadores observaram a distribuição de Trojans bancários Android, como SpyNote e ERMAC, por meio do SecuriDropper em sites enganosos e plataformas de terceiros, como o Discord.

Os Cibercriminosos estão Evoluindo Suas Ferramentas Ameaçadoras

Mais um serviço dropper, conhecido como Zombinder, veio à tona, oferecendo um desvio para o recurso Configurações restritas. Zombinder é uma ferramenta de vinculação de APK que foi desativada no início deste ano. Permanece incerto se existe alguma ligação entre estas duas ferramentas.

À medida que o Android continua a estabelecer padrões de segurança mais elevados a cada novo lançamento, os cibercriminosos são igualmente rápidos em se ajustar e encontrar novas soluções. As plataformas Dropper-as-a-Service (DaaS) tornaram-se instrumentos poderosos, permitindo que indivíduos relacionados com fraudes invadam dispositivos e distribuam spyware e cavalos de Tróia bancários.