SecuriDropper Mobile Malware
Ang mga eksperto sa cybersecurity ay nag-unveil ng isang nobelang serbisyo na tinatawag na SecuriDropper, na gumagana bilang isang 'dDopper-as-a-Service' (DaaS) para sa mga Android device. Ang SecuriDropper ay idinisenyo upang iwasan ang pinakabagong mga paghihigpit sa seguridad na ipinatupad ng Google at matagumpay na nag-deploy ng malware sa mga Android device.
Ang isang dropper malware sa Android ay nagsisilbing isang paraan upang mapadali ang pag-install ng nagbabantang software sa mga nakompromisong device, na lumilikha ng isang kumikitang modelo ng negosyo para sa mga indibidwal na nauugnay sa panloloko. Ang mga banta ng aktor na ito ay maaaring ibenta ang kanilang mga kakayahan sa ibang mga organisasyong kriminal.
Higit pa rito, binibigyang-daan ng diskarteng ito ang mga kalaban na paghiwalayin ang pagbuo at pagpapatupad ng isang pag-atake mula sa aktwal na pag-install ng malware. Ang tanawin ng mga dropper at ang mga indibidwal na nag-oorkestra sa kanila ay nasa patuloy na pagbabago habang sila ay umaangkop sa counter-evolving na mga hakbang sa seguridad.
Nilampasan ng SecuriDropper ang Ilang Mga Panukala sa Seguridad
Ang Android 13 ng Google ay nagpakilala ng feature na panseguridad na kilala bilang "Restricted Settings." Ang tampok na ito ay idinisenyo upang maiwasan ang mga naka-sideload na application mula sa pagkuha ng mga pahintulot sa Accessibility at Notification Listener, na madalas na pinagsamantalahan ng mga Trojan sa pagbabangko.
Ang SecuriDropper ay na-engineered upang lampasan ang pananggalang na ito nang hindi pumupukaw ng hinala, kadalasang nagpapanggap bilang tila hindi nakapipinsalang mga aplikasyon. Ang ilan sa mga pagkakataong nakatagpo sa ligaw ay kinabibilangan ng:
com.appd.instll.load (Google)
com.appd.instll.load (Google Chrome)
Ang pinagkaiba ng SecuriDropper ay ang natatanging diskarte nito sa proseso ng pag-install. Hindi tulad ng mga nauna nito, ang pamilya ng malware na ito ay gumagamit ng alternatibong Android API para i-install ang bagong payload, na sumasalamin sa prosesong ginagamit ng mga lehitimong marketplace ng application para sa mga bagong pag-install ng application. Kabilang dito ang paghiling ng mga pahintulot na magbasa at magsulat ng data sa panlabas na storage (READ_EXTERNAL_STORAGE at WRITE_EXTERNAL_STORAGE) at mag-install at magtanggal ng mga package (REQUEST_INSTALL_PACKAGES at DELETE_PACKAGES).
Sa ikalawang yugto ng pag-atake, sinenyasan ang mga biktima na mag-click sa pindutang "I-install muli" sa loob ng app upang tugunan ang isang sinasabing error sa pag-install, na nagpapadali sa pag-install ng malisyosong payload.
Naobserbahan ng mga mananaliksik ang pamamahagi ng mga Android banking Trojan tulad ng SpyNote at ERMAC sa pamamagitan ng SecuriDropper sa mga mapanlinlang na website at mga third-party na platform gaya ng Discord.
Ang mga Cybercriminal ay Nagpapaunlad ng Kanilang Mga Tool sa Pagbabanta
Isa pang serbisyo ng dropper, na kilala bilang Zombinder, ay nahayag, na nag-aalok ng bypass para sa feature na Restricted Settings. Ang Zombinder ay isang tool sa pag-binding ng APK na pinaniniwalaang isinara nang mas maaga sa taong ito. Ito ay nananatiling hindi tiyak kung mayroong anumang link sa pagitan ng dalawang tool na ito.
Habang patuloy na nagtatakda ang Android ng mas matataas na pamantayan sa seguridad sa bawat bagong release, ang mga cybercriminal ay parehong mabilis na mag-adjust at makahanap ng mga bagong solusyon. Ang mga platform ng Dropper-as-a-Service (DaaS) ay tumaas bilang makapangyarihang mga instrumento, na nagbibigay-daan sa mga indibidwal na nauugnay sa pandaraya na lumabag sa mga device at mamahagi ng spyware at banking Trojans.
