Το κακόβουλο λογισμικό SecuriDropper για κινητά καταφέρνει να αποφύγει τον εντοπισμό
Οι ειδικοί στον τομέα της κυβερνοασφάλειας παρουσίασαν μια νέα υπηρεσία Android dropper, γνωστή ως SecuriDropper, η οποία παρακάμπτει τους τελευταίους περιορισμούς ασφαλείας της Google και παρέχει κακόβουλο λογισμικό.
Το κακόβουλο λογισμικό Dropper για Android έχει σχεδιαστεί για να λειτουργεί ως αγωγός για την εγκατάσταση κακόβουλων ωφέλιμων φορτίων σε παραβιασμένες συσκευές, καθιστώντας το ένα κερδοφόρο μοντέλο για εγκληματίες του κυβερνοχώρου που μπορούν να επιδείξουν τις δυνατότητές τους σε άλλες εγκληματικές ομάδες. Αυτή η προσέγγιση επιτρέπει επίσης στους αντιπάλους να διαχωρίσουν την ανάπτυξη και την εκτέλεση της επίθεσης από την πραγματική διαδικασία εγκατάστασης κακόβουλου λογισμικού.
Σύμφωνα με μια έκθεση της ολλανδικής εταιρείας κυβερνοασφάλειας ThreatFabric, τα droppers και οι υπεύθυνοι για αυτά εξελίσσονται συνεχώς για να ξεπερνούν τα μέτρα ασφαλείας που προωθούν. Η Google εισήγαγε μια λειτουργία ασφαλείας στο Android 13 που ονομάζεται Περιορισμένες Ρυθμίσεις, η οποία στοχεύει να αποτρέψει τις δευτερεύουσες εφαρμογές από το να αποκτήσουν δικαιώματα προσβασιμότητας και ακρόασης ειδοποιήσεων που συχνά εκμεταλλεύονται τραπεζικοί trojans.
Τρόπος λειτουργίας του SecuriDroppers
Το SecuriDropper προσπαθεί να παρακάμψει αυτό το προστατευτικό φράγμα χωρίς ανίχνευση, συγκαλύπτοντας το σταγονόμετρο ως μια αβλαβή εφαρμογή. Ορισμένα δείγματα που παρατηρήθηκαν στη φύση περιλαμβάνουν ονόματα εφαρμογών όπως "com.appd.instll.load" στο Google και στο Google Chrome.
Το ThreatFabric τόνισε αυτό που ξεχωρίζει το SecuriDropper είναι η τεχνική του προσέγγιση στη διαδικασία εγκατάστασης. Σε αντίθεση με τους προκατόχους της, αυτή η οικογένεια χρησιμοποιεί ένα διαφορετικό API Android για την εγκατάσταση του νέου ωφέλιμου φορτίου, μιμούμενος τη διαδικασία που χρησιμοποιούν οι αγορές εφαρμογών για την εγκατάσταση νέων εφαρμογών.
Συγκεκριμένα, αυτό περιλαμβάνει την αίτηση αδειών για ανάγνωση και εγγραφή δεδομένων σε εξωτερικό χώρο αποθήκευσης (READ_EXTERNAL_STORAGE και WRITE_EXTERNAL_STORAGE) καθώς και τη δυνατότητα εγκατάστασης και διαγραφής πακέτων (REQUEST_INSTALL_PACKAGES και DELETE_PACKAGES).
Στο δεύτερο στάδιο, η εγκατάσταση του κακόβουλου ωφέλιμου φορτίου διευκολύνεται παροτρύνοντας τα θύματα να κάνουν κλικ σε ένα κουμπί "Επανεγκατάσταση" στην εφαρμογή, υποτίθεται για την επίλυση ενός σφάλματος εγκατάστασης.
