SecuriDropper 移动恶意软件

网络安全专家推出了一项名为 SecuriDropper 的新颖服务，该服务作为 Android 设备的“dDopper 即服务”(DaaS) 运行。 SecuriDropper 旨在规避 Google 实施的最新安全限制，并成功将恶意软件部署到 Android 设备上。

Android 上的植入式恶意软件可以帮助在受感染的设备上安装威胁软件，从而为欺诈相关个人创造有利可图的商业模式。这些威胁行为者可以向其他犯罪组织推销其能力。

此外，这种方法使攻击者能够将攻击的开发和执行与恶意软件的实际安装分开。随着滴管者和策划者适应反演进的安全措施，他们的情况一直处于不断变化的状态。

SecuriDropper 绕过多项安全措施

谷歌的 Android 13 引入了一项称为“受限设置”的安全功能。此功能旨在防止旁加载应用程序获取可访问性和通知侦听器权限，这些权限经常被银行木马利用。

SecuriDropper 经过精心设计，可以在不引起怀疑的情况下绕过此安全措施，通常伪装成看似无害的应用程序。在野外遇到的一些实例包括：

com.appd.instll.load（谷歌）

com.appd.instll.load（谷歌浏览器）

SecuriDropper 的独特之处在于其独特的安装过程方法。与其前身不同，该恶意软件系列采用替代的 Android API 来安装新的有效负载，镜像合法应用程序市场安装新应用程序所采用的流程。这涉及请求读取和写入外部存储数据（READ_EXTERNAL_STORAGE 和 WRITE_EXTERNAL_STORAGE）以及安装和删除包（REQUEST_INSTALL_PACKAGES 和 DELETE_PACKAGES）的权限。

在攻击的第二阶段，系统会提示受害者单击应用程序内的“重新安装”按钮以解决所谓的安装错误，从而促进恶意负载的安装。

研究人员通过 SecuriDropper 观察到SpyNote和ERMAC等 Android 银行木马在欺骗性网站和 Discord 等第三方平台上的分布。

网络犯罪分子正在改进他们的威胁工具

另一种名为Zombinder的植入服务已经曝光，它可以绕过“受限设置”功能。 Zombinder 是一款 APK 绑定工具，据信已于今年早些时候关闭。目前尚不确定这两个工具之间是否存在任何联系。

随着 Android 在每个新版本中不断设定更高的安全标准，网络犯罪分子同样可以快速调整并寻找新的解决方案。滴管即服务 (DaaS) 平台已成为强大的工具，使与欺诈相关的个人能够破坏设备并传播间谍软件和银行木马。