SecuriDropper Mobil Kötü Amaçlı Yazılım
Siber güvenlik uzmanları, Android cihazlar için 'Hizmet Olarak dDopper' (DaaS) olarak çalışan SecuriDropper adlı yeni bir hizmeti tanıttı. SecuriDropper, Google tarafından uygulanan en son güvenlik kısıtlamalarını aşmak için tasarlanmıştır ve kötü amaçlı yazılımları Android cihazlara başarıyla dağıtır.
Android'deki bir kötü amaçlı yazılım, tehdit edici yazılımların tehlikeye atılmış cihazlara yüklenmesini kolaylaştırarak dolandırıcılıkla ilgili kişiler için karlı bir iş modeli oluşturmanın bir yolu olarak hizmet eder. Bu tehdit aktörleri yeteneklerini diğer suç örgütlerine pazarlayabilir.
Ayrıca bu yaklaşım, saldırganların bir saldırının geliştirilmesini ve yürütülmesini kötü amaçlı yazılımın fiili kurulumundan ayırmasına olanak tanır. Damlatıcıların ve onları yöneten bireylerin ortamı, karşı gelişen güvenlik önlemlerine uyum sağladıkça sürekli bir değişim halindedir.
SecuriDropper Çeşitli Güvenlik Önlemlerini Atlıyor
Google'ın Android 13'ü, "Kısıtlı Ayarlar" olarak bilinen bir güvenlik özelliğini kullanıma sundu. Bu özellik, yandan yüklenen uygulamaların, bankacılık Truva atları tarafından sıklıkla istismar edilen Erişilebilirlik ve Bildirim Dinleyici izinlerini almasını önlemek için tasarlanmıştır.
SecuriDropper, genellikle görünüşte zararsız uygulamalar gibi görünerek şüphe uyandırmadan bu korumayı atlayacak şekilde tasarlanmıştır. Vahşi doğada karşılaşılan örneklerden bazıları şunlardır:
com.appd.instll.load (Google)
com.appd.instll.load (Google Chrome)
SecuriDropper'ı diğerlerinden ayıran şey kurulum sürecine olan benzersiz yaklaşımıdır. Öncekilerden farklı olarak bu kötü amaçlı yazılım ailesi, yeni yükü yüklemek için alternatif bir Android API kullanıyor ve meşru uygulama pazarlarının yeni uygulama yüklemeleri için kullandığı süreci yansıtıyor. Bu, harici depolamaya veri okuma ve yazma (READ_EXTERNAL_STORAGE ve WRITE_EXTERNAL_STORAGE) ve paketleri kurma ve silme (REQUEST_INSTALL_PACKAGES ve DELETE_PACKAGES) için izin istemeyi içerir.
Saldırının ikinci aşamasında, kurbanlardan, sözde bir yükleme hatasını gidermek için uygulama içindeki "Yeniden Yükle" düğmesini tıklamaları isteniyor ve bu da kötü amaçlı yükün yüklenmesini kolaylaştırıyor.
Araştırmacılar , SpyNote ve ERMAC gibi Android bankacılık Truva atlarının SecuriDropper aracılığıyla yanıltıcı web siteleri ve Discord gibi üçüncü taraf platformlarda dağıtımını gözlemlediler.
Siber Suçlular Tehdit Araçlarını Geliştiriyor
Kısıtlı Ayarlar özelliği için bir bypass sunan, Zombinder olarak bilinen başka bir damlalık hizmeti gün ışığına çıktı. Zombinder, bu yılın başlarında kapatıldığına inanılan bir APK bağlama aracıdır. Bu iki araç arasında herhangi bir bağlantı olup olmadığı belirsizliğini koruyor.
Android her yeni sürümüyle daha yüksek güvenlik standartları belirlemeye devam ederken, siber suçlular da aynı hızla uyum sağlıyor ve yeni çözümler buluyor. Hizmet Olarak Bırakma (DaaS) platformları, dolandırıcılıkla ilgili kişilerin cihazlara sızmasına ve casus yazılım ve bankacılık Truva Atları dağıtmasına olanak tanıyan güçlü araçlar olarak yükselişe geçti.
