SecuriDropper Mobile Malware

Odborníci na kybernetickú bezpečnosť predstavili novú službu s názvom SecuriDropper, ktorá funguje ako „dDopper-as-a-Service“ (DaaS) pre zariadenia so systémom Android. SecuriDropper je navrhnutý tak, aby obchádzal najnovšie bezpečnostné obmedzenia implementované spoločnosťou Google a úspešne nasadil malvér do zariadení so systémom Android.

Malvér typu dropper v systéme Android slúži ako prostriedok na uľahčenie inštalácie hroziaceho softvéru na napadnuté zariadenia, čím sa vytvára ziskový obchodný model pre jednotlivcov súvisiacich s podvodmi. Títo aktéri hrozieb môžu predávať svoje schopnosti iným zločineckým organizáciám.

Okrem toho tento prístup umožňuje protivníkom oddeliť vývoj a vykonanie útoku od skutočnej inštalácie škodlivého softvéru. Krajina kvapkadiel a jednotlivcov, ktorí ich organizujú, sa neustále mení, pretože sa prispôsobujú meniacim sa bezpečnostným opatreniam.

SecuriDropper obchádza niekoľko bezpečnostných opatrení

Android 13 od Google zaviedol bezpečnostnú funkciu známu ako „Obmedzené nastavenia“. Táto funkcia je navrhnutá tak, aby zabránila stiahnutým aplikáciám získať povolenia na zjednodušenie ovládania a prijímania upozornení, ktoré často využívajú bankové trójske kone.

SecuriDropper bol skonštruovaný tak, aby obišiel túto ochranu bez vzbudenia podozrenia, pričom sa často vydáva za zdanlivo neškodné aplikácie. Niektoré z prípadov, ktoré sa vyskytujú vo voľnej prírode, zahŕňajú:

com.appd.instll.load (Google)

com.appd.instll.load (Google Chrome)

To, čo odlišuje SecuriDropper od ostatných, je jeho jedinečný prístup k procesu inštalácie. Na rozdiel od svojich predchodcov táto rodina škodlivého softvéru využíva na inštaláciu nového užitočného obsahu alternatívne rozhranie Android API, ktoré odzrkadľuje proces, ktorý používajú legitímne trhoviská aplikácií pre inštalácie nových aplikácií. To zahŕňa vyžiadanie povolení na čítanie a zápis údajov do externého úložiska (READ_EXTERNAL_STORAGE a WRITE_EXTERNAL_STORAGE) a na inštaláciu a odstraňovanie balíkov (REQUEST_INSTALL_PACKAGES a DELETE_PACKAGES).

V druhej fáze útoku sú obete vyzvané, aby klikli na tlačidlo „Preinštalovať“ v rámci aplikácie, aby sa vyriešila údajná chyba inštalácie, čím sa uľahčí inštalácia škodlivého obsahu.

Výskumníci pozorovali distribúciu trójskych koní Android banking, ako sú SpyNote a ERMAC, prostredníctvom SecuriDropper na klamlivých webových stránkach a platformách tretích strán, ako je Discord.

Kyberzločinci vyvíjajú svoje ohrozujúce nástroje

Objavila sa ďalšia služba dropper, známa ako Zombinder, ktorá ponúka obídenie funkcie Obmedzené nastavenia. Zombinder je nástroj na viazanie APK, o ktorom sa predpokladalo, že bol vypnutý začiatkom tohto roka. Nie je isté, či medzi týmito dvoma nástrojmi existuje nejaké prepojenie.

Keďže Android s každým novým vydaním naďalej stanovuje vyššie bezpečnostné štandardy, počítačoví zločinci sa rovnako rýchlo prispôsobujú a nachádzajú nové riešenia. Platformy Dropper-as-a-Service (DaaS) sa stali účinnými nástrojmi, ktoré umožňujú jednotlivcom súvisiacim s podvodmi narušiť zariadenia a distribuovať spyware a bankové trójske kone.