Złośliwemu oprogramowaniu mobilnemu SecuriDropper udało się uniknąć wykrycia
Eksperci ds. cyberbezpieczeństwa zaprezentowali nową usługę droppera dla Androida znaną jako SecuriDropper, która omija najnowsze ograniczenia bezpieczeństwa Google i dostarcza złośliwe oprogramowanie.
Złośliwe oprogramowanie typu dropper dla systemu Android ma działać jako kanał instalowania szkodliwych ładunków na zaatakowanych urządzeniach, co czyni go opłacalnym modelem dla cyberprzestępców, którzy mogą zaprezentować swoje możliwości innym grupom przestępczym. Takie podejście pozwala także przeciwnikom oddzielić rozwój i wykonanie ataku od faktycznego procesu instalacji złośliwego oprogramowania.
Według raportu holenderskiej firmy ThreatFabric zajmującej się cyberbezpieczeństwem, droppery i osoby za nie odpowiedzialne stale ewoluują, aby przechytrzyć postępujące środki bezpieczeństwa. Google wprowadził w systemie Android 13 funkcję zabezpieczeń o nazwie Restricted Settings, której celem jest zapobieganie uzyskiwaniu przez aplikacje ładowane z boku uprawnień do dostępności i odbiornika powiadomień, które są często wykorzystywane przez trojany bankowe.
Tryb działania SecuriDroppers
SecuriDropper próbuje ominąć tę barierę ochronną bez wykrycia, ukrywając dropper jako nieszkodliwą aplikację. Niektóre zaobserwowane próbki obejmują nazwy aplikacji, takie jak „com.appd.instll.load” w Google i Google Chrome.
ThreatFabric podkreślił, że tym, co wyróżnia SecuriDropper, jest techniczne podejście do procesu instalacji. W przeciwieństwie do swoich poprzedników, ta rodzina wykorzystuje inny interfejs API systemu Android do instalowania nowego ładunku, naśladując proces stosowany przez sklepy z aplikacjami do instalowania nowych aplikacji.
W szczególności dotyczy to żądania uprawnień do odczytu i zapisu danych w pamięci zewnętrznej (READ_EXTERNAL_STORAGE i WRITE_EXTERNAL_STORAGE), a także możliwości instalowania i usuwania pakietów (REQUEST_INSTALL_PACKAGES i DELETE_PACKAGES).
Na drugim etapie instalację szkodliwego ładunku ułatwia się, namawiając ofiary do kliknięcia przycisku „Zainstaluj ponownie” w aplikacji, co rzekomo ma na celu naprawienie błędu instalacji.