Зловмисне програмне забезпечення для мобільних пристроїв SecuriDropper
Експерти з кібербезпеки представили новий сервіс під назвою SecuriDropper, який працює як «dDopper-as-a-Service» (DaaS) для пристроїв Android. SecuriDropper розроблено для обходу останніх обмежень безпеки, запроваджених Google, і успішно розгортає зловмисне програмне забезпечення на пристроях Android.
Зловмисне програмне забезпечення для Android слугує засобом для полегшення встановлення загрозливого програмного забезпечення на зламаних пристроях, створюючи прибуткову бізнес-модель для осіб, які займаються шахрайством. Ці загрози можуть продавати свої можливості іншим злочинним організаціям.
Крім того, цей підхід дозволяє зловмисникам відокремити розробку та виконання атаки від фактичного встановлення шкідливого програмного забезпечення. Ландшафт дропперів та осіб, які ними керують, постійно змінюється, оскільки вони пристосовуються до нових заходів безпеки.
SecuriDropper обходить кілька заходів безпеки
Android 13 від Google представив функцію безпеки, відому як «Обмежені налаштування». Ця функція розроблена, щоб запобігти отриманню сторонніми завантаженими програмами дозволів доступності та прослуховування сповіщень, якими часто користуються банківські трояни.
SecuriDropper був розроблений, щоб обійти цей захист, не викликаючи підозр, часто маскуючись під здавалося б нешкідливі програми. Деякі екземпляри, які зустрічаються в дикій природі, включають:
com.appd.instll.load (Google)
com.appd.instll.load (Google Chrome)
SecuriDropper відрізняє унікальний підхід до процесу встановлення. На відміну від своїх попередників, це сімейство зловмисних програм використовує альтернативний Android API для встановлення нового корисного навантаження, віддзеркалюючи процес, який використовується законними ринками додатків для встановлення нових додатків. Це передбачає запит дозволів на читання та запис даних у зовнішню пам’ять (READ_EXTERNAL_STORAGE та WRITE_EXTERNAL_STORAGE), а також на встановлення та видалення пакетів (REQUEST_INSTALL_PACKAGES та DELETE_PACKAGES).
На другому етапі атаки жертвам пропонується натиснути кнопку «Перевстановити» в додатку, щоб усунути передбачувану помилку встановлення, полегшуючи встановлення шкідливого корисного навантаження.
Дослідники спостерігали за поширенням банківських троянів Android, таких як SpyNote і ERMAC, через SecuriDropper на оманливих веб-сайтах і сторонніх платформах, таких як Discord.
Кіберзлочинці розвивають свої загрозливі інструменти
З’явилася ще одна служба дроппера, відома як Zombinder, яка пропонує обхід функції обмежених налаштувань. Zombinder — це інструмент зв’язування APK, який, як вважалося, було закрито на початку цього року. Залишається невизначеним, чи існує зв'язок між цими двома інструментами.
Оскільки Android продовжує встановлювати вищі стандарти безпеки з кожним новим випуском, кіберзлочинці однаково швидко пристосовуються та знаходять нові рішення. Платформи Dropper-as-a-Service (DaaS) стали потужними інструментами, які дозволяють особам, пов’язаним із шахрайством, зламувати пристрої та поширювати шпигунське програмне забезпечення та банківські трояни.
