SecuriDropper Mobile Malware Managed to Dodge Detection
Eksperter på nettsikkerhet har avduket en ny Android dropper-tjeneste kjent som SecuriDropper, som omgår Googles siste sikkerhetsrestriksjoner og leverer skadelig programvare.
Dropper malware for Android er designet for å fungere som en kanal for å installere skadelige nyttelaster på kompromitterte enheter, noe som gjør det til en lønnsom modell for nettkriminelle som kan vise frem evnene sine til andre kriminelle grupper. Denne tilnærmingen lar også motstandere skille angrepets utvikling og utførelse fra selve installasjonsprosessen for skadelig programvare.
I følge en rapport fra det nederlandske cybersikkerhetsselskapet ThreatFabric, utvikler droppere og de som er ansvarlige for dem hele tiden for å overliste fremme sikkerhetstiltak. Google introduserte en sikkerhetsfunksjon i Android 13 kalt Begrensede innstillinger, som tar sikte på å forhindre sidelastede applikasjoner fra å få tilgangs- og varslingslyttertillatelser som ofte utnyttes av banktrojanere.
SecuriDroppers sin driftsmodus
SecuriDropper forsøker å omgå denne beskyttelsesbarrieren uten deteksjon ved å skjule dropperen som en ufarlig app. Noen observerte prøver i naturen inkluderer appnavn som "com.appd.instll.load" i Google og Google Chrome.
ThreatFabric fremhevet det som skiller SecuriDropper, er dens tekniske tilnærming til installasjonsprosessen. I motsetning til sine forgjengere, bruker denne familien en annen Android API for å installere den nye nyttelasten, og etterligner prosessen som brukes av appmarkedsplasser for å installere nye applikasjoner.
Dette innebærer spesifikt å be om tillatelser til å lese og skrive data til ekstern lagring (READ_EXTERNAL_STORAGE og WRITE_EXTERNAL_STORAGE) samt muligheten til å installere og slette pakker (REQUEST_INSTALL_PACKAGES og DELETE_PACKAGES).
I det andre trinnet forenkles installasjonen av den ondsinnede nyttelasten ved å oppfordre ofrene til å klikke på en "Reinstall"-knapp i appen, visstnok for å løse en installasjonsfeil.
