SecuriDropper Mobile Malware gestito per schivare il rilevamento
Gli esperti di sicurezza informatica hanno presentato un nuovo servizio dropper Android noto come SecuriDropper, che elude le ultime restrizioni di sicurezza di Google e distribuisce malware.
Il malware Dropper per Android è progettato per fungere da canale per l'installazione di payload dannosi su dispositivi compromessi, rendendolo un modello redditizio per i criminali informatici che possono mostrare le proprie capacità ad altri gruppi criminali. Questo approccio consente inoltre agli hacker di separare lo sviluppo e l'esecuzione dell'attacco dall'effettivo processo di installazione del malware.
Secondo un rapporto della società olandese di sicurezza informatica ThreatFabric, i dropper e i loro responsabili sono in continua evoluzione per superare in astuzia le sempre più avanzate misure di sicurezza. Google ha introdotto una funzionalità di sicurezza in Android 13 chiamata Impostazioni limitate, che mira a impedire alle applicazioni caricate lateralmente di acquisire autorizzazioni di accessibilità e ascolto delle notifiche che vengono spesso sfruttate dai trojan bancari.
Modalità di funzionamento di SecuriDroppers
SecuriDropper tenta di aggirare questa barriera protettiva senza essere rilevato camuffando il contagocce come un'app innocua. Alcuni esempi osservati in natura includono nomi di app come "com.appd.instll.load" in Google e Google Chrome.
ThreatFabric ha evidenziato che ciò che distingue SecuriDropper è il suo approccio tecnico al processo di installazione. A differenza dei suoi predecessori, questa famiglia utilizza una diversa API Android per installare il nuovo payload, imitando il processo utilizzato dai marketplace di app per installare nuove applicazioni.
Nello specifico, ciò comporta la richiesta di autorizzazioni per leggere e scrivere dati su dispositivi di archiviazione esterni (READ_EXTERNAL_STORAGE e WRITE_EXTERNAL_STORAGE), nonché la possibilità di installare ed eliminare pacchetti (REQUEST_INSTALL_PACKAGES e DELETE_PACKAGES).
Nella seconda fase, l'installazione del payload dannoso viene facilitata invitando le vittime a fare clic sul pulsante "Reinstalla" nell'app, presumibilmente per risolvere un errore di installazione.