SecuriDropper Mobile Malware

Cybersäkerhetsexperter har avslöjat en ny tjänst som heter SecuriDropper, som fungerar som en "dDopper-as-a-Service" (DaaS) för Android-enheter. SecuriDropper är utformad för att kringgå de senaste säkerhetsbegränsningarna som implementerats av Google och distribuerar framgångsrikt skadlig programvara på Android-enheter.

En dropper malware på Android fungerar som ett sätt att underlätta installationen av hotfull programvara på komprometterade enheter, vilket skapar en lönsam affärsmodell för bedrägerirelaterade individer. Dessa hotaktörer kan marknadsföra sin kapacitet till andra kriminella organisationer.

Dessutom gör det här tillvägagångssättet det möjligt för motståndare att separera utvecklingen och utförandet av en attack från den faktiska installationen av skadlig programvara. Landskapet av droppare och individerna som orkestrerar dem är i konstant förändring när de anpassar sig till säkerhetsåtgärder som motverkar utvecklingen.

SecuriDropper kringgår flera säkerhetsåtgärder

Googles Android 13 har introducerat en säkerhetsfunktion som kallas "Begränsade inställningar". Den här funktionen är utformad för att förhindra sidladdade applikationer från att få åtkomst- och meddelandelyssnarbehörigheter, som ofta utnyttjas av banktrojaner.

SecuriDropper har konstruerats för att kringgå denna skyddsåtgärd utan att väcka misstankar, ofta maskerad som till synes ofarliga applikationer. Några av de fall som påträffas i naturen inkluderar:

com.appd.instll.load (Google)

com.appd.instll.load (Google Chrome)

Det som utmärker SecuriDropper är dess unika inställning till installationsprocessen. Till skillnad från sina föregångare använder denna skadliga programfamilj ett alternativt Android API för att installera den nya nyttolasten, vilket speglar processen som används av legitima programmarknadsplatser för nya programinstallationer. Detta innebär att man begär tillstånd att läsa och skriva data till extern lagring (READ_EXTERNAL_STORAGE och WRITE_EXTERNAL_STORAGE) och att installera och ta bort paket (REQUEST_INSTALL_PACKAGES och DELETE_PACKAGES).

I det andra steget av attacken uppmanas offren att klicka på knappen "Installera om" i appen för att åtgärda ett påstått installationsfel, vilket underlättar installationen av den skadliga nyttolasten.

Forskare har observerat distributionen av Android-banktrojaner som SpyNote och ERMAC genom SecuriDropper på vilseledande webbplatser och tredjepartsplattformar som Discord.

Cyberbrottslingar utvecklar sina hotfulla verktyg

Ännu en droppertjänst, känd som Zombinder, har dykt upp och erbjuder en bypass för funktionen för begränsade inställningar. Zombinder är ett APK-bindningsverktyg som troddes ha stängts av tidigare i år. Det är fortfarande osäkert om det finns någon koppling mellan dessa två verktyg.

Eftersom Android fortsätter att sätta högre säkerhetsstandarder med varje ny version, är cyberbrottslingar lika snabba att anpassa sig och hitta nya lösningar. Dropper-as-a-Service (DaaS)-plattformar har vuxit fram som kraftfulla instrument, vilket gör det möjligt för bedrägerirelaterade individer att bryta mot enheter och distribuera spionprogram och banktrojaner.