El malware móvil SecuriDropper logró esquivar la detección
Los expertos en ciberseguridad han presentado un nuevo servicio de cuentagotas de Android conocido como SecuriDropper, que elude las últimas restricciones de seguridad de Google y entrega malware.
El malware Dropper para Android está diseñado para actuar como un conducto para instalar cargas útiles maliciosas en dispositivos comprometidos, lo que lo convierte en un modelo rentable para los ciberdelincuentes que pueden mostrar sus capacidades a otros grupos delictivos. Este enfoque también permite a los adversarios separar el desarrollo y la ejecución del ataque del proceso real de instalación del malware.
Según un informe de la empresa holandesa de ciberseguridad ThreatFabric, los droppers y sus responsables evolucionan constantemente para burlar las medidas de seguridad avanzadas. Google introdujo una función de seguridad en Android 13 llamada Configuración restringida, cuyo objetivo es evitar que las aplicaciones descargadas adquieran permisos de accesibilidad y escucha de notificaciones que a menudo son explotados por troyanos bancarios.
Modo de funcionamiento de SecuriDroppers
SecuriDropper intenta eludir esta barrera protectora sin ser detectado disfrazando el gotero como una aplicación inocua. Algunas muestras observadas en la naturaleza incluyen nombres de aplicaciones como "com.appd.instll.load" en Google y Google Chrome.
ThreatFabric destacó que lo que distingue a SecuriDropper es su enfoque técnico del proceso de instalación. A diferencia de sus predecesoras, esta familia emplea una API de Android diferente para instalar la nueva carga útil, imitando el proceso utilizado por los mercados de aplicaciones para instalar nuevas aplicaciones.
Específicamente, esto implica solicitar permisos para leer y escribir datos en almacenamiento externo (READ_EXTERNAL_STORAGE y WRITE_EXTERNAL_STORAGE), así como la capacidad de instalar y eliminar paquetes (REQUEST_INSTALL_PACKAGES y DELETE_PACKAGES).
En la segunda etapa, la instalación de la carga útil maliciosa se facilita instando a las víctimas a hacer clic en el botón "Reinstalar" en la aplicación, supuestamente para resolver un error de instalación.
