SecuriDropper Mobile Malware

Experții în securitate cibernetică au dezvăluit un nou serviciu numit SecuriDropper, care funcționează ca „dDopper-as-a-Service” (DaaS) pentru dispozitivele Android. SecuriDropper este conceput pentru a eluda cele mai recente restricții de securitate implementate de Google și implementează cu succes malware pe dispozitivele Android.

Un program malware dropper pe Android servește ca mijloc de a facilita instalarea de software amenințător pe dispozitive compromise, creând un model de afaceri profitabil pentru persoanele legate de fraudă. Acești actori amenințări își pot comercializa capacitățile altor organizații criminale.

În plus, această abordare le permite adversarilor să separe dezvoltarea și execuția unui atac de instalarea efectivă a malware-ului. Peisajul picurătorilor și al indivizilor care le orchestrează este într-o stare constantă de flux, pe măsură ce se adaptează la măsurile de securitate în contra-evoluție.

SecuriDropper ocolește mai multe măsuri de securitate

Android 13 de la Google a introdus o caracteristică de securitate cunoscută sub numele de „Setări restricționate”. Această caracteristică este concepută pentru a împiedica aplicațiile cu încărcare laterală să obțină permisiuni de accesibilitate și de ascultare a notificărilor, care sunt exploatate frecvent de troienii bancare.

SecuriDropper a fost conceput pentru a ocoli această garanție fără a trezi suspiciuni, adesea mascandu-se drept aplicații aparent inofensive. Unele dintre cazurile întâlnite în sălbăticie includ:

com.appd.instll.load (Google)

com.appd.instll.load (Google Chrome)

Ceea ce diferențiază SecuriDropper este abordarea sa unică a procesului de instalare. Spre deosebire de predecesorii săi, această familie de programe malware folosește un API Android alternativ pentru a instala noua încărcătură utilă, oglindind procesul folosit de piețele legitime de aplicații pentru instalarea noilor aplicații. Aceasta implică solicitarea de permisiuni pentru a citi și a scrie date pe stocarea externă (READ_EXTERNAL_STORAGE și WRITE_EXTERNAL_STORAGE) și pentru a instala și șterge pachete (REQUEST_INSTALL_PACKAGES și DELETE_PACKAGES).

În a doua etapă a atacului, victimelor li se solicită să facă clic pe butonul „Reinstalare” din cadrul aplicației pentru a rezolva o presupusă eroare de instalare, facilitând instalarea încărcăturii utile rău intenționate.

Cercetătorii au observat distribuția troienilor bancare Android precum SpyNote și ERMAC prin SecuriDropper pe site-uri web înșelătoare și pe platforme terțe, cum ar fi Discord.

Infractorii cibernetici își dezvoltă instrumentele amenințătoare

Un alt serviciu dropper, cunoscut sub numele de Zombinder, a ieșit la iveală, oferind o ocolire pentru caracteristica Setări restricționate. Zombinder este un instrument de legare APK despre care se credea că a fost închis la începutul acestui an. Rămâne nesigur dacă există vreo legătură între aceste două instrumente.

Pe măsură ce Android continuă să stabilească standarde de securitate mai ridicate cu fiecare nouă lansare, infractorii cibernetici sunt la fel de rapidi să se adapteze și să găsească noi soluții. Platformele Dropper-as-a-Service (DaaS) au devenit instrumente puternice, permițând persoanelor legate de fraudă să spargă dispozitive și să distribuie spyware și troieni bancare.