Malware móvel SecuriDropper gerenciado para evitar detecção
Especialistas em segurança cibernética revelaram um novo serviço Android dropper conhecido como SecuriDropper, que contorna as mais recentes restrições de segurança do Google e entrega malware.
O malware Dropper para Android foi projetado para atuar como um canal para a instalação de cargas maliciosas em dispositivos comprometidos, tornando-o um modelo lucrativo para criminosos cibernéticos que podem mostrar suas capacidades a outros grupos criminosos. Essa abordagem também permite que os adversários separem o desenvolvimento e a execução do ataque do processo real de instalação do malware.
De acordo com um relatório da empresa holandesa de segurança cibernética ThreatFabric, os droppers e seus responsáveis estão em constante evolução para superar as medidas de segurança avançadas. O Google introduziu um recurso de segurança no Android 13 chamado Configurações restritas, que visa evitar que aplicativos transferidos por sideload adquiram permissões de acessibilidade e ouvinte de notificação que são frequentemente exploradas por trojans bancários.
Modo de operação do SecuriDroppers
O SecuriDropper tenta contornar essa barreira protetora sem ser detectado, disfarçando o conta-gotas como um aplicativo inócuo. Algumas amostras observadas incluem nomes de aplicativos como "com.appd.instll.load" no Google e no Google Chrome.
ThreatFabric destacou que o que diferencia o SecuriDropper é sua abordagem técnica ao processo de instalação. Ao contrário de seus antecessores, esta família emprega uma API Android diferente para instalar a nova carga útil, imitando o processo usado pelos mercados de aplicativos para instalar novos aplicativos.
Especificamente, isso envolve a solicitação de permissões para ler e gravar dados em armazenamento externo (READ_EXTERNAL_STORAGE e WRITE_EXTERNAL_STORAGE), bem como a capacidade de instalar e excluir pacotes (REQUEST_INSTALL_PACKAGES e DELETE_PACKAGES).
No segundo estágio, a instalação da carga maliciosa é facilitada pedindo às vítimas que cliquem no botão "Reinstalar" no aplicativo, supostamente para resolver um erro de instalação.