SecuriDropper mobiele malware is erin geslaagd detectie te omzeilen
Cybersecurity-experts hebben een nieuwe Android-dropper-service onthuld, bekend als SecuriDropper, die de nieuwste beveiligingsbeperkingen van Google omzeilt en malware levert.
Dropper-malware voor Android is ontworpen als kanaal voor het installeren van kwaadaardige payloads op aangetaste apparaten, waardoor het een winstgevend model is voor cybercriminelen die hun capaciteiten aan andere criminele groepen kunnen laten zien. Dankzij deze aanpak kunnen kwaadwillenden de ontwikkeling en uitvoering van de aanval scheiden van het feitelijke installatieproces van de malware.
Volgens een rapport van het Nederlandse cyberbeveiligingsbedrijf ThreatFabric evolueren droppers en degenen die daarvoor verantwoordelijk zijn voortdurend om de voortschrijdende beveiligingsmaatregelen te slim af te zijn. Google heeft een beveiligingsfunctie geïntroduceerd in Android 13 genaamd Beperkte instellingen, die tot doel heeft te voorkomen dat sideloaded applicaties Toegankelijkheids- en Notificatieluisteraar-machtigingen verkrijgen die vaak worden uitgebuit door banktrojans.
De werkwijze van SecuriDroppers
SecuriDropper probeert deze beschermende barrière zonder detectie te omzeilen door de druppelaar te vermommen als een onschadelijke app. Sommige waargenomen voorbeelden in het wild bevatten app-namen zoals "com.appd.instll.load" in Google en Google Chrome.
ThreatFabric benadrukte wat SecuriDropper onderscheidt is de technische benadering van het installatieproces. In tegenstelling tot zijn voorgangers gebruikt deze familie een andere Android API om de nieuwe payload te installeren, waarmee het proces wordt nagebootst dat door app-marktplaatsen wordt gebruikt om nieuwe applicaties te installeren.
Concreet gaat het hierbij om het aanvragen van machtigingen om gegevens te lezen en te schrijven naar externe opslag (READ_EXTERNAL_STORAGE en WRITE_EXTERNAL_STORAGE) en om de mogelijkheid om pakketten te installeren en te verwijderen (REQUEST_INSTALL_PACKAGES en DELETE_PACKAGES).
In de tweede fase wordt de installatie van de kwaadaardige lading vergemakkelijkt door de slachtoffers aan te sporen op de knop 'Opnieuw installeren' in de app te klikken, zogenaamd om een installatiefout op te lossen.