Zlonamerna programska oprema za mobilne naprave SecuriDropper

Strokovnjaki za kibernetsko varnost so predstavili novo storitev, imenovano SecuriDropper, ki deluje kot 'dDopper-as-a-Service' (DaaS) za naprave Android. SecuriDropper je zasnovan tako, da zaobide najnovejše varnostne omejitve, ki jih izvaja Google, in uspešno namešča zlonamerno programsko opremo v naprave Android.

Zlonamerna programska oprema v sistemu Android služi kot sredstvo za olajšanje namestitve nevarne programske opreme na ogrožene naprave, kar ustvarja donosen poslovni model za posameznike, povezane z goljufijami. Ti akterji groženj lahko tržijo svoje zmogljivosti drugim kriminalnim združbam.

Poleg tega ta pristop nasprotnikom omogoča, da ločijo razvoj in izvedbo napada od dejanske namestitve zlonamerne programske opreme. Pokrajina padalcev in posameznikov, ki jih orkestrirajo, se nenehno spreminja, ko se prilagajajo nasprotno razvijajočim se varnostnim ukrepom.

SecuriDropper obide več varnostnih ukrepov

Googlov Android 13 je predstavil varnostno funkcijo, imenovano »Omejene nastavitve«. Ta funkcija je zasnovana tako, da prepreči stransko naloženim aplikacijam pridobitev dovoljenj za dostopnost in poslušalce obvestil, kar pogosto izkoriščajo bančni trojanci.

SecuriDropper je bil zasnovan tako, da zaobide to zaščito, ne da bi vzbudil sum, pogosto zamaskiran kot navidezno neškodljive aplikacije. Nekateri primeri, ki jih najdemo v naravi, vključujejo:

com.appd.instll.load (Google)

com.appd.instll.load (Google Chrome)

SecuriDropper razlikuje po edinstvenem pristopu k postopku namestitve. Za razliko od svojih predhodnikov ta družina zlonamerne programske opreme uporablja alternativni Android API za namestitev novega tovora, ki zrcali postopek, ki ga uporabljajo zakonite tržnice aplikacij za namestitev novih aplikacij. To vključuje zahtevanje dovoljenj za branje in pisanje podatkov v zunanji pomnilnik (READ_EXTERNAL_STORAGE in WRITE_EXTERNAL_STORAGE) ter za namestitev in brisanje paketov (REQUEST_INSTALL_PACKAGES in DELETE_PACKAGES).

V drugi fazi napada so žrtve pozvane, da v aplikaciji kliknejo gumb »Ponovna namestitev«, da odpravijo domnevno napako pri namestitvi, kar olajša namestitev zlonamernega tovora.

Raziskovalci so opazili distribucijo bančnih trojancev za Android, kot sta SpyNote in ERMAC, prek SecuriDropperja na zavajajočih spletnih mestih in platformah tretjih oseb, kot je Discord.

Kibernetski kriminalci razvijajo svoja orodja za grožnje

Na dan je prišla še ena storitev kapanja, znana kot Zombinder, ki ponuja obvod za funkcijo omejenih nastavitev. Zombinder je orodje za vezavo APK-jev, ki naj bi bilo zaprto v začetku tega leta. Še vedno ni gotovo, ali obstaja kakšna povezava med tema dvema orodjema.

Ker Android z vsako novo izdajo še naprej postavlja višje varnostne standarde, se kibernetski kriminalci enako hitro prilagodijo in najdejo nove rešitve. Platforme Dropper-as-a-Service (DaaS) so postale zmogljivi instrumenti, ki posameznikom, povezanim z goljufijami, omogočajo vdor v naprave ter distribucijo vohunske programske opreme in bančnih trojancev.