มัลแวร์มือถือ SecuriDropper

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้เปิดตัวบริการใหม่ที่เรียกว่า SecuriDropper ซึ่งทำงานเป็น 'dDopper-as-a-Service' (DaaS) สำหรับอุปกรณ์ Android SecuriDropper ได้รับการออกแบบมาเพื่อหลีกเลี่ยงข้อจำกัดด้านความปลอดภัยล่าสุดที่ Google นำมาใช้ และปรับใช้มัลแวร์บนอุปกรณ์ Android ได้สำเร็จ

มัลแวร์แบบหยดบน Android ทำหน้าที่เป็นวิธีการอำนวยความสะดวกในการติดตั้งซอฟต์แวร์ที่เป็นอันตรายบนอุปกรณ์ที่ถูกบุกรุก สร้างรูปแบบธุรกิจที่ทำกำไรสำหรับบุคคลที่เกี่ยวข้องกับการฉ้อโกง ผู้คุกคามเหล่านี้สามารถทำการตลาดความสามารถของตนกับองค์กรอาชญากรรมอื่นๆ ได้

นอกจากนี้ วิธีการนี้ยังช่วยให้ฝ่ายตรงข้ามสามารถแยกการพัฒนาและการดำเนินการโจมตีออกจากการติดตั้งมัลแวร์จริงได้ ภูมิทัศน์ของหยดน้ำและบุคคลที่จัดเตรียมพวกมันอยู่ในสภาวะที่เปลี่ยนแปลงตลอดเวลาเมื่อพวกเขาปรับตัวให้เข้ากับมาตรการรักษาความปลอดภัยที่สวนทางกับการพัฒนา

SecuriDropper ข้ามมาตรการรักษาความปลอดภัยหลายประการ

Android 13 ของ Google ได้เปิดตัวคุณสมบัติความปลอดภัยที่เรียกว่า "การตั้งค่าที่จำกัด" คุณลักษณะนี้ได้รับการออกแบบมาเพื่อป้องกันแอปพลิเคชันไซด์โหลดไม่ให้ได้รับสิทธิ์การเข้าถึงและสิทธิ์ผู้ฟังการแจ้งเตือน ซึ่งมักถูกใช้โดยโทรจันของธนาคาร

SecuriDropper ได้รับการออกแบบมาเพื่อเลี่ยงการป้องกันนี้โดยไม่ทำให้เกิดความสงสัย ซึ่งมักจะปลอมแปลงเป็นแอปพลิเคชันที่ดูเหมือนไม่มีอันตราย ตัวอย่างบางส่วนที่พบในธรรมชาติ ได้แก่ :

com.appd.instll.load (Google)

com.appd.instll.load (Google Chrome)

สิ่งที่ทำให้ SecuriDropper แตกต่างคือแนวทางที่เป็นเอกลักษณ์ในกระบวนการติดตั้ง ตระกูลมัลแวร์นี้ต่างจากรุ่นก่อนตรงที่ใช้ Android API สำรองเพื่อติดตั้งเพย์โหลดใหม่ โดยสะท้อนกระบวนการที่ใช้โดยตลาดแอปพลิเคชันที่ถูกกฎหมายสำหรับการติดตั้งแอปพลิเคชันใหม่ ซึ่งเกี่ยวข้องกับการขอสิทธิ์ในการอ่านและเขียนข้อมูลไปยังที่จัดเก็บข้อมูลภายนอก (READ_EXTERNAL_STORAGE และ WRITE_EXTERNAL_STORAGE) และเพื่อติดตั้งและลบแพ็คเกจ (REQUEST_INSTALL_PACKAGES และ DELETE_PACKAGES)

ในขั้นตอนที่สองของการโจมตี เหยื่อจะได้รับแจ้งให้คลิกปุ่ม "ติดตั้งใหม่" ภายในแอปเพื่อแก้ไขข้อผิดพลาดในการติดตั้งโดยอ้างว่า ช่วยอำนวยความสะดวกในการติดตั้งเพย์โหลดที่เป็นอันตราย

นักวิจัยได้สังเกตเห็นการแพร่กระจายของโทรจันธนาคาร Android เช่น SpyNote และ ERMAC ผ่าน SecuriDropper บนเว็บไซต์หลอกลวงและแพลตฟอร์มบุคคลที่สาม เช่น Discord

อาชญากรไซเบอร์กำลังพัฒนาเครื่องมือคุกคามของตน

บริการดรอปเปอร์อีกบริการหนึ่งที่รู้จักกันในชื่อ Zombinder ได้เปิดตัวแล้ว โดยเสนอการบายพาสสำหรับคุณสมบัติการตั้งค่าที่จำกัด Zombinder เป็นเครื่องมือรวม APK ที่เชื่อกันว่าได้ปิดตัวลงเมื่อต้นปีนี้ ยังคงไม่แน่ใจว่ามีความเชื่อมโยงระหว่างเครื่องมือทั้งสองนี้หรือไม่

เนื่องจาก Android ยังคงกำหนดมาตรฐานความปลอดภัยที่สูงขึ้นในการเปิดตัวใหม่แต่ละครั้ง อาชญากรไซเบอร์จึงสามารถปรับเปลี่ยนและค้นหาโซลูชันใหม่ๆ ได้อย่างรวดเร็วพอๆ กัน แพลตฟอร์ม Dropper-as-a-Service (DaaS) ได้เพิ่มขึ้นในฐานะเครื่องมืออันทรงพลัง ช่วยให้บุคคลที่เกี่ยวข้องกับการฉ้อโกงสามารถละเมิดอุปกรณ์และกระจายสปายแวร์และโทรจันธนาคารได้