„SecuriDropper Mobile“ kenkėjiška programa pavyko išvengti aptikimo

Kibernetinio saugumo ekspertai pristatė naują Android dropper paslaugą, žinomą kaip SecuriDropper, kuri apeina naujausius Google saugumo apribojimus ir pristato kenkėjiškas programas.

„Android“ skirta „Dropper“ kenkėjiška programa sukurta kaip kanalas, leidžiantis diegti kenksmingus naudingus krovinius pažeistuose įrenginiuose, todėl tai yra pelningas modelis kibernetiniams nusikaltėliams, kurie gali parodyti savo galimybes kitoms nusikalstamoms grupėms. Šis metodas taip pat leidžia priešininkams atskirti atakos kūrimą ir vykdymą nuo tikrojo kenkėjiškų programų diegimo proceso.

Remiantis Nyderlandų kibernetinio saugumo bendrovės „ThreatFabric“ ataskaita, lašintuvai ir už juos atsakingi asmenys nuolat tobulėja, kad aplenktų pažangias saugumo priemones. „Google“ įdiegė „Android 13“ saugos funkciją, pavadintą „Restricted Settings“, kuria siekiama neleisti įkeltoms programoms įgyti pritaikymo neįgaliesiems ir pranešimų klausytojo leidimų, kuriais dažnai naudojasi bankų Trojos arklys.

„SecuriDroppers“ veikimo režimas

„SecuriDropper“ bando apeiti šį apsauginį barjerą neaptikdamas, užmaskuodamas lašintuvą kaip nekenksmingą programą. Kai kurie laukiniai pavyzdžiai apima programų pavadinimus, pvz., „com.appd.instll.load“ sistemoje „Google“ ir „Google Chrome“.

„ThreatFabric“ pabrėžė, kuo „SecuriDropper“ išsiskiria techniniu požiūriu į diegimo procesą. Skirtingai nuo pirmtakų, ši šeima naudoja skirtingą Android API, kad įdiegtų naują naudingą apkrovą, imituojant procesą, kurį naudoja programų prekyvietės diegdamos naujas programas.

Konkrečiai kalbant, reikia prašyti leidimo skaityti ir rašyti duomenis į išorinę saugyklą (READ_EXTERNAL_STORAGE ir WRITE_EXTERNAL_STORAGE), taip pat galimybę įdiegti ir ištrinti paketus (REQUEST_INSTALL_PACKAGES ir DELETE_PACKAGES).

Antrame etape kenkėjiškos naudingosios apkrovos įdiegimas palengvinamas, raginant aukas programėlėje spustelėti mygtuką „Įdiegti iš naujo“, tariamai ištaisant diegimo klaidą.